最近、セキュリティのコースや認定資格を深掘りしていて、OWASP、DevSecOpsパイプライン、クラウドセキュリティのアーキテクチャ、コンプライアンスの枠組みなどを学びました。さらに、実運用のプロダクションシステムにおいて、これらの概念がどのように結びつくのかを理解するのに役立つシニア・ソリューション・アーキテクトと一緒に仕事をする機会もありました。
それらをすべて吸収した後、私は学んだことを、セキュリティに関係する作業をしているときに自動的に起動するClaude Codeのスキルにまとめることにしました。APIの構築、認証の設定、シークレットの管理、CI/CDの設定、LLMの統合、そして本番へのデプロイなどを行うときです。これは、あなたの開発ワークフローに組み込まれたセキュリティ・コパイロットだと思ってください。
カバー内容(フルSDLC):
- 計画 — 脅威モデリング(STRIDE/PASTA)、セキュリティ要件、コンプライアンス対応付け
- アーキテクチャ — 最小権限、defense in depth(多層防御)、ゼロトラスト、暗号化パターン
- コーディング — 入力バリデーション、シークレット管理、サプライチェーンセキュリティ
- テスト — SAST/DAST/SCAのツールガイダンス、セキュリティに重点を置いたコードレビューのチェックリスト
- CI/CD — パイプラインのセキュリティゲート、コンテナの強化、IaCスキャン
- モニタリング — SIEM、IDS/IPS、インシデント対応計画
以下のための深掘りリファレンスを含みます:
- REST APIのセキュリティ & Swagger/OpenAPIの強化
- OWASP LLM Top 10 & プロンプトインジェクションへの防御
- データ分類(Public/Internal/Confidential/Secret)
- IAM & API Gatewayのアーキテクチャパターン
- コンプライアンス枠組み(GDPR、ISO 27001、PCI-DSS、SOC 2)
言語/フレームワークに依存しません — どんなプロジェクトでも動きます。
GitHub: https://github.com/IyedGuezmir/secure-development-skill フィードバックが欲しいです — ここにないのに、どんなセキュリティ領域をカバーしてほしいですか?
[link] [comments]
