ipa-sec-cwe
Installation
SKILL.md
cweスキル
フォームの「脆弱性の種類」と「CWEとの関連付け」を埋めるための整理を行う。
コマンド
/cwe
手順
Step 1: ユーザーの説明から種類を当てる
以下を整理する。
- フォーム上の分類(XSS / SQLインジェクション / CSRF / その他 など)
- CWE-XXX の候補
Step 2: 候補は 1〜3 個までに絞る
候補を出しすぎない。 もっとも近いものを先頭にする。 迷う場合は「第一候補」「第二候補」として示す。
出力例:
脆弱性の種類: その他(認可・アクセス制御の不備)
CWE候補:
1. CWE-284 Improper Access Control
2. CWE-200 Exposure of Sensitive Information to an Unauthorized Actor
Step 3: 理由を1行ずつ添える
例:
- CWE-284: 他ユーザーのデータへ認可なしでアクセスできるため
- CWE-200: 本来見えない情報が取得できているため
Step 4: report.json に保存する
{
"vuln_type": "その他",
"cwe": ["CWE-284", "CWE-200"]
}
Step 5: 表記ミスに注意する
CWE-XXXと書くCWS-XXXとは書かない- 古い包括的なCWEより、なるべく具体的なCWEを優先する
Related skills
More from vteacher-online/ipa-sec-todokede
ipa-sec-start
IPA のウェブアプリケーション脆弱性届出を始めるためのスキル。対象区分を確認し、URL・確認日・現象・証跡などの基本情報を聞き取り、.ipa-sec-todokede/report.json を初期化する。
2start
IPA のウェブアプリケーション脆弱性届出を始めるためのスキル。対象区分を確認し、URL・確認日・現象・証跡などの基本情報を聞き取り、.ipa-sec-todokede/report.json を初期化する。
1ipa-sec-draft
IPA届出フォームに転記できる本文下書きを生成するスキル。フォームの見出し順に並べ、発見経緯・判断理由・脅威・証跡の有無までまとめて draft.md に保存する。
1ipa-sec-severity
IPA届出フォームの「深刻度と影響範囲」を作るスキル。CVSS v3 のベクトル、基本値、算出理由、利用者数・重要インフラ・攻撃コード・攻撃発生有無を整理する。
1ipa-sec-checklist
IPA届出前の最終確認を行うスキル。URL・確認日・再現手順・CWE・脅威・証跡・他所への届出有無を確認し、足りない項目だけ短く指摘する。
1