security-guidelines

Compare original and translation side by side

🇺🇸

Original

English

🇨🇳

Translation

Chinese

Security Guidelines

安全指南

IPA準拠のセキュリティ診断・レビュースキル。Laravel + Reactアプリケーションの実装時・レビュー時に11種類の脆弱性を診断し、安全なコード例を提供する。

符合IPA标准的安全诊断与评审技能。可在Laravel + React应用的实现与评审阶段诊断11种漏洞，并提供安全代码示例。

Overview

概述

このスキルは、IPAの「安全なウェブサイトの作り方第7版」に基づき、以下の機能を提供する:

脆弱性診断: コードの脆弱性を11のカテゴリで検証
安全なコード例提供: Laravel/React固有の安全な実装パターン
チェックリストベース検証: 実装漏れの防止
ルール連携:
```
.claude/rules/security/
```
と連携した包括的なガイダンス

重要: このスキルは

.claude/rules/security/

のルールと協調動作する。rulesが「守るべき規約」を提供し、本スキルは「実行する診断ワークフロー」を提供する。

本技能基于IPA《安全网站制作指南第7版》，提供以下功能:

漏洞诊断: 从11个类别验证代码漏洞
提供安全代码示例: Laravel/React专属的安全实现模式
基于检查表的验证: 防止实现遗漏
规则联动: 与.claude/rules/security/联动提供全面指导

重要: 本技能与.claude/rules/security/规则协同工作。rules提供“应遵循的规范”，本技能提供“可执行的诊断工作流”。

Diagnostic Workflow

诊断工作流

セキュリティ診断は以下のワークフローで実行する:

安全诊断按以下工作流执行:

Phase 1: Scope Identification

阶段1：范围识别

対象コードのスコープを特定:

コード種別の判定
- Backend (Laravel): Controller, UseCase, Repository, Model
- Frontend (React): Component, Hook, Form
- API: Endpoint, Middleware
関連する脆弱性カテゴリの特定
- 入力処理 → SQLインジェクション、OSコマンド、ディレクトリトラバーサル
- 出力処理 → XSS
- フォーム → CSRF
- 認証/認可 → セッション管理、アクセス制御
- ファイル操作 → ディレクトリトラバーサル
- HTTPレスポンス → HTTPヘッダインジェクション

确定目标代码的范围:

代码类型判定
- 后端（Laravel）: Controller、UseCase、Repository、Model
- 前端（React）: Component、Hook、Form
- API: Endpoint、Middleware
关联漏洞类别识别
- 输入处理 → SQL注入、OS命令注入、目录遍历
- 输出处理 → XSS
- 表单 → CSRF
- 认证/授权 → 会话管理、访问控制
- 文件操作 → 目录遍历
- HTTP响应 → HTTP头注入

Phase 2: Vulnerability Analysis

阶段2：漏洞分析

特定されたカテゴリごとに診断:

診断方法:

該当する
```
references/*.md
```
を読み込む
脆弱なパターンと照合
安全なパターンとの差分を特定

診断対象の11カテゴリ:

SQL Injection
OS Command Injection
Directory Traversal
Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Session Management
HTTP Header Injection
Mail Header Injection
Clickjacking
Access Control (IDOR)
Authentication & Password Management

詳細は references/vulnerability-catalog.md を参照。

按识别出的类别逐一诊断:

诊断方法:

读取对应的
```
references/*.md
```
文件
与漏洞模式匹配
识别与安全模式的差异

诊断的11个类别:

SQL Injection
OS Command Injection
Directory Traversal
Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Session Management
HTTP Header Injection
Mail Header Injection
Clickjacking
Access Control (IDOR)
Authentication & Password Management

详情请参考references/vulnerability-catalog.md。

Phase 3: Report & Remediation

阶段3：报告与修复建议

診断結果をレポート:

レポート形式:

markdown

undefined

输出诊断结果报告:

报告格式:

markdown

undefined

セキュリティ診断結果

安全诊断结果

検出された問題

检测到的问题

[脆弱性名] (重要度: 高/中/低)

[漏洞名称]（重要度：高/中/低）

問題箇所: [ファイルパス:行番号]

脆弱性の説明: [なぜ危険なのか]

現在のコード:

[脆弱なコード]

推奨される修正:

[安全なコード]

参考: references/[該当ファイル].md

undefined

问题位置: [文件路径:行号]

漏洞说明: [为何存在风险]

当前代码:

[存在漏洞的代码]

推荐修复方案:

[安全代码]

参考: references/[对应文件].md

undefined

Phase 4: Checklist Verification

阶段4：检查表验证

最終確認としてチェックリストを実行:

references/checklist.md を読み込む
該当するカテゴリのチェックリストを確認
未実施項目があれば追加で指摘

最后执行检查表验证:

读取references/checklist.md
确认对应类别的检查表
若有未执行项目则额外指出

Quick Start

快速开始

コード実装時の使用

代码实现时的使用

「このログイン処理のセキュリティをチェックして」
→ セッション管理、CSRF、パスワード管理を診断

「请检查这个登录流程的安全性」
→ 诊断会话管理、CSRF、密码管理相关内容

コードレビュー時の使用

代码评审时的使用

「このPR全体のセキュリティレビューをして」
→ 変更されたファイルを分析し、関連する脆弱性を診断

「请对这个PR进行全面安全评审」
→ 分析变更文件，诊断相关漏洞

特定の脆弱性に対するチェック

针对特定漏洞的检查

「XSS対策ができているか確認して」
→ references/xss.md を参照して診断

「确认XSS防护是否到位」
→ 参考references/xss.md进行诊断

Vulnerability Categories

漏洞类别

11種類の脆弱性の詳細は、以下のreferencesファイルを参照:

11种漏洞的详情请参考以下references文件:

Injection Vulnerabilities

注入类漏洞

SQL Injection: See references/injection.md
OS Command Injection: See references/injection.md
Directory Traversal: See references/injection.md

SQL Injection: 参考references/injection.md
OS Command Injection: 参考references/injection.md
Directory Traversal: 参考references/injection.md

XSS Vulnerabilities

XSS漏洞

Cross-Site Scripting: See references/xss.md
- Laravel/Blade XSS prevention
- React XSS prevention
- Content Security Policy (CSP)

Cross-Site Scripting: 参考references/xss.md
- Laravel/Blade XSS防护
- React XSS防护
- Content Security Policy (CSP)

CSRF & Session

CSRF与会话

CSRF: See references/csrf-session.md
Session Management: See references/csrf-session.md

CSRF: 参考references/csrf-session.md
Session Management: 参考references/csrf-session.md

HTTP Header Vulnerabilities

HTTP头类漏洞

HTTP Header Injection: See references/http-headers.md
Mail Header Injection: See references/http-headers.md
Clickjacking: See references/http-headers.md

HTTP Header Injection: 参考references/http-headers.md
Mail Header Injection: 参考references/http-headers.md
Clickjacking: 参考references/http-headers.md

Access Control & Authentication

访问控制与认证

Access Control (IDOR): See references/access-control.md
Password Management: See references/access-control.md

Access Control (IDOR): 参考references/access-control.md
Password Management: 参考references/access-control.md

Comprehensive Checklist

综合检查表

Implementation Checklist: See references/checklist.md

实现检查表: 参考references/checklist.md

Integration with Rules

与Rules的集成

このスキルは

.claude/rules/security/

のルールと以下のように連携する:

Rules	Skills
常にコンテキストに読み込まれる	診断時にトリガーされる
「守るべき規約」を定義	「実行する診断ワークフロー」を提供
静的なガイドライン	動的な診断プロセス
コーディング時の参照	レビュー時の実行

使い分け:

実装中: Rules が自動的に適用される
レビュー時: このスキルを明示的に起動して診断を実行

本技能与.claude/rules/security/规则的联动方式如下:

Rules	Skills
始终加载到上下文	诊断时触发
定义“应遵循的规范”	提供“可执行的诊断工作流”
静态指南	动态诊断流程
编码时参考	评审时执行

使用场景区分:

实现中: Rules自动生效
评审时: 明确启动本技能执行诊断

Best Practices

最佳实践

診断の優先順位

诊断优先级

高優先度 (重大な影響):

SQL Injection
XSS
CSRF
Access Control (IDOR)
Session Management

中優先度 (重要): 6. OS Command Injection 7. Directory Traversal 8. Password Management

低優先度 (推奨): 9. HTTP Header Injection 10. Mail Header Injection 11. Clickjacking

高优先级（影响重大）:

SQL Injection
XSS
CSRF
Access Control (IDOR)
Session Management

中优先级（重要）: 6. OS Command Injection 7. Directory Traversal 8. Password Management

低优先级（推荐）: 9. HTTP Header Injection 10. Mail Header Injection 11. Clickjacking

診断の範囲

诊断范围

最小スコープ: 単一の関数/メソッド 推奨スコープ: 単一のファイルまたは機能 最大スコープ: Pull Request全体

注意: スコープが大きすぎる場合は、機能ごとに分割して診断することを推奨。

最小范围: 单个函数/方法 推荐范围: 单个文件或功能 最大范围: 整个Pull Request

注意: 若范围过大，建议按功能拆分后分别诊断。

False Positive の回避

避免误报

以下のケースでは誤検知を避ける:

Laravel の標準機能を正しく使用している場合:
- ```
{{ }}
```
  によるエスケープ
- ```
@csrf
```
  ディレクティブ
- ```
Hash::make()
```
  によるパスワードハッシュ
- Laravel Policy による認可チェック
React の標準機能を正しく使用している場合:
- JSX のデフォルトエスケープ
- DOMPurify によるサニタイズ

これらが正しく使用されている場合は「✅ 安全」と判定する。

以下场景需避免误判:

正确使用Laravel标准功能时:
- 使用
```
{{ }}
```
  进行转义
- 使用
```
@csrf
```
  指令
- 使用
```
Hash::make()
```
  进行密码哈希
- 使用Laravel Policy进行授权检查
正确使用React标准功能时:
- JSX默认转义
- 使用DOMPurify进行净化

上述情况判定为「✅ 安全」。

Resources

资源

references/

脆弱性カテゴリごとの詳細資料:

```
vulnerability-catalog.md
```
: 11種類の脆弱性の概要
```
injection.md
```
: SQLインジェクション、OSコマンド、ディレクトリトラバーサル
```
xss.md
```
: XSS対策（Laravel/React）
```
csrf-session.md
```
: CSRF、セッション管理
```
http-headers.md
```
: HTTPヘッダ系脆弱性
```
access-control.md
```
: アクセス制御、認証、パスワード管理
```
checklist.md
```
: 包括的な実装チェックリスト

各漏洞类别的详细资料:

```
vulnerability-catalog.md
```
: 11种漏洞概述
```
injection.md
```
: SQL注入、OS命令注入、目录遍历
```
xss.md
```
: XSS防护（Laravel/React）
```
csrf-session.md
```
: CSRF、会话管理
```
http-headers.md
```
: HTTP头类漏洞
```
access-control.md
```
: 访问控制、认证、密码管理
```
checklist.md
```
: 综合实现检查表