AgentSkillsCN

security-error-review

安全与错误处理评审——整合评估 OWASP Top 10、错误处理机制以及日志管理策略

SKILL.md
--- frontmatter
name: security-error-review
description: セキュリティ・エラーハンドリングレビュー - OWASP Top 10、エラー処理、ログ管理を統合評価
requires-guidelines:
  - common

セキュリティ・エラーハンドリングレビュー(統合版)

統合スコープ

  1. セキュリティ - OWASP Top 10、インジェクション対策、認証・セッション管理
  2. エラーハンドリング - エラー握りつぶし、適切なログ、エラー伝播

使用タイミング

  • API実装時 / 認証・認可機能実装時 / 本番エラー調査 / セキュリティレビュー時

レビュー観点

🔴 Critical(修正必須)

観点検出パターン対策
SQLインジェクション文字列結合でクエリ構築パラメータ化クエリ使用
XSSinnerHTML直接代入textContent or DOMPurify
認証不備パスワード平文保存bcrypt等でハッシュ化
セッション漏洩URLにセッションIDHttpOnly/Secure Cookie
情報露出エラーにDB情報含む一般的メッセージのみ返却
エラー握りつぶし空catch/err無視ログ+適切な例外伝播
機密情報ログpassword/tokenログ出力センシティブ情報除外

🟡 Warning(要改善)

観点検出パターン対策
ヘッダー不足CSP/HSTS未設定セキュリティヘッダー追加
レート制限なし認証APIに制限なしexpress-rate-limit等
汎用catch"Something went wrong"エラー種別で分岐
リトライなし外部API1回呼び出しexponential backoff

コード例が必要な場合: Context7で「OWASP secure coding」「error handling best practices」を検索


OWASP Top 10 (2021)

ランクカテゴリ主な対策
A01Broken Access Control認可チェック、最小権限
A02Cryptographic FailuresHTTPS、bcrypt
A03Injectionパラメータ化クエリ
A04Insecure Design脅威モデリング
A05Security Misconfigurationセキュリティヘッダー
A06Vulnerable Components依存パッケージ更新
A07Auth FailuresMFA、セッション管理
A08Data Integrity署名検証
A09Logging Failures構造化ログ
A10SSRFURLホワイトリスト

チェックリスト

セキュリティ: パラメータ化クエリ / 入力検証 / パスワードハッシュ / HttpOnly Cookie / セキュリティヘッダー / レート制限

エラーハンドリング: 全エラー処理 / コンテキスト付加 / 機密情報除外 / エラーラップ(Go: %w)


出力形式

code
## セキュリティ・エラーハンドリングレビュー結果

### セキュリティ
🔴 Critical: `ファイル:行` - 問題 - 修正案

### エラーハンドリング
🔴 Critical: `ファイル:行` - 問題 - 修正案

📊 Summary: Critical X件 / Warning Y件

外部リソース

  • Context7: OWASP Top 10、CWE、セキュアコーディングガイド
  • Serena memory: プロジェクト固有の認証方式・ログ戦略