Skill Scanner — エージェントスキル向けセキュリティスキャナー
概要
Skill Scanner は、エージェント用スキル(外部プラグインや拡張機能)に特化したセキュリティスキャナーです。スキル実装を静的に検査して、脆弱性や情報漏えいの可能性、危険な依存パッケージや設定ミスを検出します。Python 3.10+ を想定した実装で、Apache 2.0 ライセンスの下で公開。CI バッジや PyPI パッケージ化の痕跡があり、実運用向けの品質管理が組み込まれています。スキルの導入前チェックや継続的セキュリティ評価に適したツールです。
リポジトリの統計情報
- スター数: 3
- フォーク数: 0
- ウォッチャー数: 3
- コミット数: 2
- ファイル数: 21
- メインの言語: Python
主な特徴
- エージェントスキル向けに設計された静的セキュリティチェック
- 依存関係・パッケージ安全性の評価とポリシー適合性チェック
- PyPI パッケージおよび CI(GitHub Actions)との統合が想定された構成
- Apache 2.0 ライセンスでのオープンソース提供
技術的なポイント
Skill Scanner は、スキルコードの静的解析を中核に据えつつ、依存関係の脆弱性や危険な実行パターンを検出するユーティリティ群を提供していると推測されます。README やバッジからは Python 3.10+ をターゲットにしており、パッケージ化(PyPI 登録)と CI テスト(GitHub Actions)の設定があるため、ライブラリとしての利用や組織内のパイプラインへの組み込みを念頭に置いた設計です。Apache 2.0 ライセンスにより商用利用・改変が許容され、.env.example や pre-commit 設定が含まれている点からは、ローカル開発時の安全設定やコード品質ゲート(フォーマッタ、リンタ等)も考慮されていることが窺えます。実装面では、静的解析ルールの定義、スキャン結果のレポート出力(JSON/CLI 等)、および検出ポリシーのカスタマイズ機能が主要機能になりやすく、他のセキュリティツールやサプライチェーン解析ツールと組み合わせることで、スキル導入前の自動審査やCI内での継続的評価に貢献します。加えて、スキル特有のリスク(外部コマンド呼び出し、機密情報露出、過度な権限使用)を検出する専用ルールセットがあると有用であり、本リポジトリはそのような運用視点を想定した構成となっています。(約700字)
プロジェクトの構成
主要なファイルとディレクトリ:
- .cursor: dir
- .env.example: file
- .github: dir
- .gitignore: file
- .pre-commit-config.yaml: file
…他 16 ファイル
まとめ
エージェントのスキル導入前検査に適した、実装・運用を見据えた軽量なセキュリティスキャナーです。
リポジトリ情報:
- 名前: skill-scanner
- 説明: Security Scanner for Agent Skills
- スター数: 3
- 言語: Python
- URL: https://github.com/cisco-ai-defense/skill-scanner
- オーナー: cisco-ai-defense
- アバター: https://avatars.githubusercontent.com/u/220944709?v=4
READMEの抜粋:
](