jpskill.com
🛠️ 開発・MCP コミュニティ 🔴 エンジニア向け 👤 エンジニア・AI開発者

🛠️ 検索Bugs

find-bugs

自分の作業中のコード変更に潜むバグやセキュリティ

⏱ RAG構築 1週間 → 1日

📺 まず動画で見る(YouTube)

▶ 【衝撃】最強のAIエージェント「Claude Code」の最新機能・使い方・プログラミングをAIで効率化する超実践術を解説! ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Find bugs, security vulnerabilities, and code quality issues in local branch changes. Use when asked to review changes, find bugs, security review, or audit code on the current branch.

🇯🇵 日本人クリエイター向け解説

一言でいうと

自分の作業中のコード変更に潜むバグやセキュリティ

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o find-bugs.zip https://jpskill.com/download/2855.zip && unzip -o find-bugs.zip && rm find-bugs.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/2855.zip -OutFile "$d\find-bugs.zip"; Expand-Archive "$d\find-bugs.zip" -DestinationPath $d -Force; ri "$d\find-bugs.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して find-bugs.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → find-bugs フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

💬 こう話しかけるだけ — サンプルプロンプト

  • Find Bugs を使って、最小構成のサンプルコードを示して
  • Find Bugs の主な使い方と注意点を教えて
  • Find Bugs を既存プロジェクトに組み込む方法を教えて

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

バグを見つける

このブランチの変更点について、バグ、セキュリティ脆弱性、およびコード品質の問題を確認してください。

使用する状況

  • バグ、セキュリティ問題、またはリスクの高いコード変更に焦点を当てたレビューが必要な場合。
  • 新しい動作を実装するのではなく、現在のブランチの差分を監査するタスクの場合。
  • 変更されたファイルに対して、チェックリスト駆動の検証による構造化されたレビュープロセスが必要な場合。

フェーズ 1: 完全な入力情報の収集

  1. 完全な差分を取得します: git diff $(gh repo view --json defaultBranchRef --jq '.defaultBranchRef.name')...HEAD
  2. 出力が切り捨てられている場合は、変更されたすべての行を確認するまで、変更された各ファイルを個別に読み込みます。
  3. 続行する前に、このブランチで変更されたすべてのファイルをリストアップします。

フェーズ 2: 攻撃対象領域のマッピング

変更された各ファイルについて、以下を特定し、リストアップします。

  • すべてのユーザー入力(リクエストパラメータ、ヘッダー、ボディ、URLコンポーネント)
  • すべてのデータベースクエリ
  • すべての認証/認可チェック
  • すべてのセッション/状態操作
  • すべての外部呼び出し
  • すべての暗号化操作

フェーズ 3: セキュリティチェックリスト(すべてのファイルについてすべての項目をチェック)

  • [ ] インジェクション: SQL、コマンド、テンプレート、ヘッダーインジェクション
  • [ ] XSS: テンプレート内のすべての出力は適切にエスケープされていますか?
  • [ ] 認証: すべての保護された操作で認証チェックが行われていますか?
  • [ ] 認可/IDOR: 認証だけでなく、アクセス制御も検証されていますか?
  • [ ] CSRF: 状態変更操作は保護されていますか?
  • [ ] 競合状態: 読み取り後に書き込みを行うパターンでTOCTOUはありますか?
  • [ ] セッション: 固定化、有効期限、セキュアフラグは適切ですか?
  • [ ] 暗号化: 安全な乱数、適切なアルゴリズム、ログに秘密情報はありませんか?
  • [ ] 情報漏洩: エラーメッセージ、ログ、タイミング攻撃は適切ですか?
  • [ ] DoS: 無制限の操作、レート制限の欠如、リソース枯渇はありませんか?
  • [ ] ビジネスロジック: エッジケース、ステートマシン違反、数値オーバーフローはありませんか?

フェーズ 4: 検証

潜在的な各問題について:

  • 変更されたコードの他の場所で既に処理されているかを確認します。
  • シナリオをカバーする既存のテストを検索します。
  • 周囲のコンテキストを読んで、問題が実際に存在するかどうかを検証します。

フェーズ 5: 最終結論前の監査

最終決定の前に、以下のことを必ず行ってください。

  1. レビューしたすべてのファイルをリストアップし、完全に読み込んだことを確認します。
  2. すべてのチェックリスト項目をリストアップし、問題を発見したか、または問題がないことを確認したかを記録します。
  3. 完全に検証できなかった領域とその理由をリストアップします。
  4. その後、最終的な所見を提出します。

出力形式

優先順位: セキュリティ脆弱性 > バグ > コード品質

スキップ: スタイル/書式設定の問題

各問題について:

  • ファイル:行 - 簡潔な説明
  • 重大度: Critical/High/Medium/Low
  • 問題: 何が間違っているのか
  • 証拠: なぜこれが現実の問題なのか(既に修正されていない、既存のテストがないなど)
  • 修正: 具体的な提案
  • 参照: 該当する場合、OWASP、RFC、またはその他の標準

重大な問題が見つからない場合は、その旨を伝えてください。問題を捏造しないでください。

変更は行わず、所見のみを報告してください。何に対処するかは私が決定します。

制限事項

  • このスキルは、タスクが上記の範囲と明確に一致する場合にのみ使用してください。
  • 出力を、環境固有の検証、テスト、または専門家によるレビューの代わりとして扱わないでください。
  • 必要な入力、権限、安全境界、または成功基準が不足している場合は、停止して明確化を求めてください。
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Find Bugs

Review changes on this branch for bugs, security vulnerabilities, and code quality issues.

When to Use

  • You need a review focused on bugs, security issues, or risky code changes.
  • The task involves auditing the current branch diff rather than implementing new behavior.
  • You want a structured review process with checklist-driven verification against changed files.

Phase 1: Complete Input Gathering

  1. Get the FULL diff: git diff $(gh repo view --json defaultBranchRef --jq '.defaultBranchRef.name')...HEAD
  2. If output is truncated, read each changed file individually until you have seen every changed line
  3. List all files modified in this branch before proceeding

Phase 2: Attack Surface Mapping

For each changed file, identify and list:

  • All user inputs (request params, headers, body, URL components)
  • All database queries
  • All authentication/authorization checks
  • All session/state operations
  • All external calls
  • All cryptographic operations

Phase 3: Security Checklist (check EVERY item for EVERY file)

  • [ ] Injection: SQL, command, template, header injection
  • [ ] XSS: All outputs in templates properly escaped?
  • [ ] Authentication: Auth checks on all protected operations?
  • [ ] Authorization/IDOR: Access control verified, not just auth?
  • [ ] CSRF: State-changing operations protected?
  • [ ] Race conditions: TOCTOU in any read-then-write patterns?
  • [ ] Session: Fixation, expiration, secure flags?
  • [ ] Cryptography: Secure random, proper algorithms, no secrets in logs?
  • [ ] Information disclosure: Error messages, logs, timing attacks?
  • [ ] DoS: Unbounded operations, missing rate limits, resource exhaustion?
  • [ ] Business logic: Edge cases, state machine violations, numeric overflow?

Phase 4: Verification

For each potential issue:

  • Check if it's already handled elsewhere in the changed code
  • Search for existing tests covering the scenario
  • Read surrounding context to verify the issue is real

Phase 5: Pre-Conclusion Audit

Before finalizing, you MUST:

  1. List every file you reviewed and confirm you read it completely
  2. List every checklist item and note whether you found issues or confirmed it's clean
  3. List any areas you could NOT fully verify and why
  4. Only then provide your final findings

Output Format

Prioritize: security vulnerabilities > bugs > code quality

Skip: stylistic/formatting issues

For each issue:

  • File:Line - Brief description
  • Severity: Critical/High/Medium/Low
  • Problem: What's wrong
  • Evidence: Why this is real (not already fixed, no existing test, etc.)
  • Fix: Concrete suggestion
  • References: OWASP, RFCs, or other standards if applicable

If you find nothing significant, say so - don't invent issues.

Do not make changes - just report findings. I'll decide what to address.

Limitations

  • Use this skill only when the task clearly matches the scope described above.
  • Do not treat the output as a substitute for environment-specific validation, testing, or expert review.
  • Stop and ask for clarification if required inputs, permissions, safety boundaries, or success criteria are missing.