Stats
Actions
Tags
From tsumiki
Ingests security audit reports (e.g. ipa-security-check) and converts findings into a prioritized, actionable dev-debug task list with triage guidance
How this skill is triggered — by the user, by Claude, or both
Slash command
/tsumiki:ipa-security-guide [レポートファイルパス (省略時: ipa-security-report-*.md を自動検出)] [-o 出力ファイルパス][レポートファイルパス (省略時: ipa-security-report-*.md を自動検出)] [-o 出力ファイルパス]The summary Claude sees in its skill listing — used to decide when to auto-load this skill
`ipa-security-check` をはじめとするセキュリティ診断ツールが出力したレポートを読み込み、以下を出力する。
ipa-security-check をはじめとするセキュリティ診断ツールが出力したレポートを読み込み、以下を出力する。
tsumiki:dev-debug にそのままコピペできるフォーマット外部ツールへの依存なし。コードベースを直接読んでアーキテクチャを判断する。
/ipa-security-guide
/ipa-security-guide <レポートファイルパス>
/ipa-security-guide -o <出力ファイルパス>
/ipa-security-guide <レポートファイルパス> -o <出力ファイルパス>
security-reports/ipa-security-report-*.md を優先して自動検出する。見つからない場合はカレントディレクトリの ipa-security-report-*.md も検索する
ipa-security-report.md へのフォールバックを試みる。それも存在しない場合はエラーを報告して終了する-o を指定した場合は結果をそのパスに Write する。省略した場合は画面出力のみipa-security-check 等)が生成した Markdown レポートであることipa-security-guide/
├── SKILL.md ← 本ファイル(Claude が最初に読む)
├── knowledge/
│ ├── triage.md ← 対応不要の判断基準・除外対象の定義
│ └── priority.md ← 優先順位・グループ化の基準
└── lib/
└── output_formatter.md ← 依頼リスト・結果出力のフォーマット定義
以下をすべて Read する。件ごとに読み直さない。
knowledge/triage.mdknowledge/priority.mdlib/output_formatter.mdレポートから全検出項目のファイルパスを一覧化し、まとめて Read する。 1件ずつ処理しながら読むのではなく、先にすべて読んでコンテキストに入れる。
ステップ1〜2で読んだ内容をもとに、全検出項目を一括で分析する。件ごとにループして都度判断するのではなく、全体像を把握した上でまとめて行う。
分析対象から除外する finding(triage.md の除外対象セクションも参照):
<!-- ipa-triage:begin ... ipa-triage:end --> ブロックで status: 問題なし または status: 保留 が設定されているもの(ユーザーがトリアージ済み)## 偽陽性候補 セクションに分類されているもの(false-positive-review が偽陽性の疑いありと判定)status: 未対応 と status: 対応する の finding のみ各件について以下を判断する:
triage.md(ステップ1で読済み)の基準で対応不要候補を特定する。
候補が見つかった場合は必ずユーザーに提示して最終判断を求める。スキル単独で確定しない。
ユーザーが対応不要と確定した項目については ipa-skip コメント追加の依頼を生成する。
priority.md(ステップ1で読済み)の基準でグループ化と優先順位を決める。
output_formatter.md(ステップ1で読済み)のフォーマットに従って結果を出力する。
-o オプションが指定されている場合は、出力内容を指定パスに Write する。
省略されている場合は画面に出力するのみ。
npx claudepluginhub classmethod/tsumiki --plugin tsumikiPerforms static security analysis of source code based on IPA guidelines (SQLi, XSS, CSRF, etc.) and provides references to original documents.
Generates targeted security fixes with regression tests from detect-dev SARIF findings. Use when remediating vulnerabilities after a security audit.
Orchestrates a white-box security audit with parallel isolated blue-team and red-team passes, then synthesizes findings into prioritized targets for deep-dive exploitation. Heavy and thorough by design.