Skill.md検索

WebView・XSS・依存関係脆弱性・パストラバーサル・機密情報漏洩について、自動的にコード検査を実施する 検出された問題ごとに深刻度（Critical/High/Medium/Low）を付けて分類し、優先順位の高い対応から進められるようにする 問題発見時に修正案を提示し、改善のための具体的な指針を提供する 検査結果を表形式でレポート化し、チーム共有やドキュメント化を容易にする リリース前のセキュリティレビューをチェックリスト形式で効率化したい開発チーム WebView・外部リソース読み込み・XSSなど、Web関連の脆弱性を一括検査したい人 npm依存関係の脆弱性を定期的に監視し、修正の優先度を付けたい人 ハードコードされた機密情報やパストラバーサルリスクなど、よくある脆弱性を見落とさないようにしたい人 セキュリティレビューは5つのカテゴリでチェックリスト方式で実施されます： 1. WebViewセキュリティ：Content Security Policy（CSP）の設定確認（script-src・style-src・img-src）、postMessageのorigin検証、信頼できないURLからのリソース読み込み確認。 2. XSS対策：dangerouslySetInnerHTMLの検索と適切なサニタイズ確認、ユーザー入力のHTMLレンダリング時のエスケープ処理、Markdownパーサー出力のサニタイズ確認。 3. 依存関係脆弱性：npm audit実行、重大度high/criticalの脆弱性報告。 4. パストラバーサル対策：ユーザー入力を使用したファイルパス構築箇所の確認、path.join()/path.resolve()への直接入力確認、\"..\"含むパスの正規化・検証確認。 5. 機密情報漏洩：.gitignore対象確認、ハードコードされたAPIキー・トークン・パスワード検索、ログ出力内の機密情報確認。 実行後は表形式のレポート（テーブル：項番・深刻度・カテゴリ・場所・説明・推奨対応）で結果を報告。自動修正は行わず、読み取り専用操作のみ実施。

テスト駆動開発（TDD）のRed-Green-Refactorサイクルに従って、堅牢な機能を段階的に実装できます。 実装前にテストを書くことで、要件を明確にし、意図しない動作を事前に防げます。 各実装ステップでテストを実行して確認するため、バグを早期に発見でき、後の修正コストを削減できます。 リファクタリング（コードの整理・改善）を安心して行える環境が整い、コード品質を継続的に向上させられます。 テストコードが自動ドキュメントになるため、チーム内で実装意図の共有が容易になります。 新機能開発を担当するエンジニア：要件を正確に理解し、バグを減らしながら開発を進めたい チーム開発を行う人：テストコードを通じて実装意図を明確に伝えたい コード品質を重視する人：リファクタリングを安全に実施し、長期的にメンテナンスしやすいコードを目指したい 既存プロジェクトの改善に取り組む人：テストを通じてリグレッション（機能低下）を防ぎながら改善したい t-wada（和田卓人）推奨のTDDワークフローは、Red-Green-Refactorという3段階のサイクルで構成されます。Red段階ではテストを先に1つだけ書き、必ず失敗させることを確認します。Green段階では仮実装（Fake It）でテストを通し、必要に応じて三角測量（別テストケースを追加して一般化）を行います。Refactor段階ではテストが通った状態でコード重複や設計の問題を改善します。テストファイルはtest_.pyとして配置し、uv run pytestで実行。禁止事項として「テストを書く前に実装コードを書くこと」「テストがRedの状態でリファクタリングすること」「テストを実行せずに次のステップに進むこと」などが定められています。

長いメソッドや重複したコードなど、コードの「臭い」（Code Smells）を自動的に特定し、改善案を提示します。 関数の抽出やモジュール分割などの具体的なリファクタリング手法を段階的に適用し、テストを回しながら安全に進めるため、バグが入り込む心配が減ります。 既存機能の振る舞いを変えず、内部構造だけを整理することで、保守性の高い・読みやすいコードに改善できます。 各変更後にテストを実行する習慣がつくため、コード品質に対する信頼度が高まります。 ベテランエンジニア：レガシーコードの整理・最適化を体系的に進めたい人 チームリード：コード品質のばらつきを統一し、チーム全体の開発効率を上げたい人 新人エンジニア：正しいリファクタリングの進め方を学びながら、実践できる人 保守性を重視する開発チーム：機能追加の速度と品質のバランスを取りたい人

失敗するテストから始めて実装 - 実装コードを書く前に、まず「こうなるべき」というテストを先に書き、それを満たすコードを段階的に実装できます。 Red-Green-Refactorサイクルで進める - テストが失敗（Red） → テストが成功（Green） → コード整理（Refactor）の3ステップを何度も繰り返し、品質を保ちながら機能を完成させます。 最小限の実装で効率化 - テストを通すための最小限のコードだけを書くため、無駄な処理や過度な設計を避け、シンプルで理解しやすいコードになります。 リファクタリングを安心して実行 - テストで常に品質を確認しているため、コード改善（リファクタリング）時に予期しない動作変化を即座に検出できます。 テスト実行コマンドを自動で用意 - プロジェクト固有のテストフォルダ構成やコマンドに合わせた実行方法を提供し、いちいち手作業で探す手間を削減できます。 品質の高いコードを書きたい開発者 - テストがあるから安心して機能追加・修正できる開発スタイルを実践したい人。 チーム開発で信頼性を重視する方 - 他の開発者が書いたコードも、テストがあれば動作の意図が明確で保守しやすい環境を作りたい人。 レビュー時間を短縮したい方 - テストがあれば「このコードは本当に動くのか？」という確認作業が減り、レビューが効率化できます。 実装フローを改善したい開発者 - テスト → 実装 → リファクタの順序を意識することで、より体系的で再現性のある開発プロセスを確立したい人。

Ruffツールを使ってPythonコードの問題点（未使用インポート、命名規則違反、バグの可能性など）を自動検出します。 --fix オプションで自動修正可能な問題を一括で修正できます。手作業でコードを直す手間が省けます。 コードのフォーマット（インデント、スペース、改行など）を統一基準で自動修正できます。 チェックのみモード・修正モード・フォーマット修正モードの3パターンから選べるため、シーンに応じて使い分けられます。 コードレビュー前に品質チェックを自動化したい開発者 Pythonプロジェクトのコード品質を統一したい技術リード・チームリード CI/CD構築時に静的解析を自動実行させたいDevOpsエンジニア

全テストを自動実行：プロジェクト内のすべてのテストをワンコマンドで実行し、合格/失敗を即座に判定できます。 コードカバレッジを測定：--cov オプションで、実装したコードがどの程度テストされているかを自動計算し、カバレッジレポートを生成できます。 特定のテストのみ実行：ファイル名やテスト名を指定して、必要なテストだけを高速に実行できます。 テスト失敗を即座に検出：エラーメッセージと共に失敗したテストを報告し、デバッグを素早く始められます。 品質基準を自動チェック：カバレッジ（コードの網羅率）が80%未満の場合に警告を出し、品質基準の達成を促します。 テスト駆動開発（TDD）を実践したい開発者 コード品質を数値で管理したい開発チーム テスト実行の手間を減らしたいエンジニア 本番環境へのリリース前に品質を保証したい人