🛠️ 開発・MCP コミュニティ

owasp-zap

OWASP ZAPを活用し、Webアプリケーションのセキュリティ脆弱性を検出し、XSSやSQLインジェクションといったOWASP Top 10の脆弱性分析、CI/CDパイプラインへの統合など、セキュアなWebアプリ開発を支援するSkill。

📜 元の英語説明(参考)

Assists with finding security vulnerabilities in web applications using OWASP ZAP. Use when configuring automated scans, writing scan policies, integrating security scanning into CI/CD pipelines, or analyzing results for OWASP Top 10 vulnerabilities like XSS, SQL injection, and CSRF. Trigger words: owasp zap, security scan, vulnerability scanner, penetration testing, zap-baseline, active scan, passive scan.

🇯🇵 日本人クリエイター向け解説

一言でいうと

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux

mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o owasp-zap.zip https://jpskill.com/download/15223.zip && unzip -o owasp-zap.zip && rm owasp-zap.zip

🪟 Windows (PowerShell)

$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/15223.zip -OutFile "$d\owasp-zap.zip"; Expand-Archive "$d\owasp-zap.zip" -DestinationPath $d -Force; ri "$d\owasp-zap.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)

1. 下の青いボタンを押して owasp-zap.zip をダウンロード
2. ZIPファイルをダブルクリックで解凍 → owasp-zap フォルダができる
3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
4. Claude Code を再起動

⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
- · macOS / Linux: ~/.claude/skills/
- · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →

最終更新: 2026-05-18
取得日時: 2026-05-18
同梱ファイル: 1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

OWASP ZAP

概要

OWASP ZAP は、スパイダーリング、パッシブ分析、およびアクティブな攻撃テストを通じて脆弱性を発見する、オープンソースの Web アプリケーションセキュリティスキャナです。OWASP Top 10 の問題 (XSS、SQL インジェクション、CSRF、SSRF、アクセス制御の不備) を検出し、Docker および GitHub Actions 経由で CI/CD と統合し、設定可能なスキャンポリシーを使用して OpenAPI 仕様からの API スキャンをサポートします。

手順

CI でクイックスキャンを実行する場合は、すべての PR でパッシブのみのスキャン (非破壊的) を実行し、攻撃ペイロードを送信せずに約 60% の問題をキャッチする zap-baseline.py を使用します。
ステージングで徹底的なスキャンを実行する場合は、スパイダーリング、パッシブスキャン、およびアクティブな攻撃テストを組み合わせた zap-full-scan.py を使用します。アクティブスキャンは破壊的なペイロードを送信するため、本番環境では絶対に実行しないでください。
API をスキャンする場合は、OpenAPI/Swagger 仕様とともに zap-api-scan.py を使用して、手動クロールなしですべてのエンドポイントを自動的に検出してテストします。
認証を構成する場合は、スキャン前にフォームベース、スクリプトベース、またはヘッダーベースの認証を設定して、ZAP が脆弱性の大部分を含む認証されたエンドポイントに到達できるようにします。
CI/CD と統合する場合は、Docker イメージ (ghcr.io/zaproxy/zaproxy) または GitHub Actions (zaproxy/action-baseline) を使用し、アラートレベルごとに失敗の閾値を設定し、HTML と JSON の両方のレポートを生成します。
結果をトリアージする場合は、信頼度とリスクレベル (最初は High/High) で優先順位を付け、スキャンポリシーのルールで既知の誤検知を除外し、CI で Informational アラートを無視します。

例

例 1: CI/CD パイプラインにセキュリティスキャンを追加する

ユーザーリクエスト: 「すべてのプルリクエストで OWASP ZAP を実行して、セキュリティの問題を早期にキャッチする」

アクション:

ステージング URL をターゲットとする zaproxy/action-baseline@v0.12.0 を使用して GitHub Action を追加します。
High リスクのアラートのみでビルドを中断するように失敗の閾値を構成します。
開発者のレビュー用に HTML レポートをビルド成果物として生成します。
既知の誤検知に対するスキャンポリシーの例外を追加します。

出力: レポートと構成可能な失敗の閾値を使用して、すべての PR でパッシブセキュリティスキャンを実行する CI パイプライン。

例 2: ステージング環境で完全なセキュリティ監査を実行する

ユーザーリクエスト: 「起動前に Web アプリケーションの包括的なセキュリティスキャンを実行する」

アクション:

アプリケーションのログインフローで ZAP 認証を構成します。
JavaScript を多用する SPA クローリングのために Ajax Spider を実行します。
検出されたすべてのエンドポイントで High 強度で完全なアクティブスキャンを実行します。
HTML および JSON レポートを生成し、信頼度とリスクによってアラートをトリアージします。

出力: 優先順位付けされた脆弱性と修復ガイダンスを含む包括的なセキュリティ監査レポート。

ガイドライン

zap-baseline.py は非破壊的であり、最も一般的な問題をパッシブにキャッチするため、CI のすべての PR で使用します。
アクティブスキャンは攻撃ペイロードを送信するため、本番環境ではなく、ステージングでのみ完全なアクティブスキャンを実行します。
認証されていないスキャンではログインの背後にある脆弱性が見逃されるため、スキャン前に認証を設定します。
API テストのために OpenAPI 仕様をインポートして、エンドポイントを自動的に検出します。
信頼度とリスクによってアラートをトリアージします。最初に High 信頼度 + High リスクに対処します。
アラートをグローバルに無視するのではなく、スキャンポリシーのルールで誤検知を除外します。
HTML (人間用) と JSON (自動化用) の両方のレポートを生成します。

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

OWASP ZAP

Overview

OWASP ZAP is an open-source web application security scanner that discovers vulnerabilities through spidering, passive analysis, and active attack testing. It detects OWASP Top 10 issues (XSS, SQL injection, CSRF, SSRF, broken access control), integrates with CI/CD via Docker and GitHub Actions, and supports API scanning from OpenAPI specs with configurable scan policies.

Instructions

When running quick scans in CI, use zap-baseline.py which performs passive-only scanning (non-destructive) on every PR and catches approximately 60% of issues without sending attack payloads.
When running thorough scans on staging, use zap-full-scan.py which combines spidering, passive scanning, and active attack testing; never run active scans on production since they send destructive payloads.
When scanning APIs, use zap-api-scan.py with the OpenAPI/Swagger spec to automatically discover and test all endpoints without manual crawling.
When configuring authentication, set up form-based, script-based, or header-based auth before scanning so ZAP can reach authenticated endpoints that contain the majority of vulnerabilities.
When integrating with CI/CD, use the Docker image (ghcr.io/zaproxy/zaproxy) or GitHub Actions (zaproxy/action-baseline), set fail thresholds by alert level, and generate both HTML and JSON reports.
When triaging results, prioritize by confidence and risk level (High/High first), exclude known false positives with scan policy rules, and ignore Informational alerts in CI.

Examples

Example 1: Add security scanning to a CI/CD pipeline

User request: "Run OWASP ZAP on every pull request to catch security issues early"

Actions:

Add a GitHub Action using zaproxy/action-baseline@v0.12.0 targeting the staging URL
Configure fail thresholds to break the build on High risk alerts only
Generate HTML reports as build artifacts for developer review
Add scan policy exceptions for known false positives

Output: A CI pipeline that runs passive security scanning on every PR with reports and configurable failure thresholds.

Example 2: Run a full security audit on a staging environment

User request: "Perform a comprehensive security scan of our web application before launch"

Actions:

Configure ZAP authentication with the application's login flow
Run the Ajax Spider for JavaScript-heavy SPA crawling
Execute a full active scan with High strength on all discovered endpoints
Generate HTML and JSON reports, triaging alerts by confidence and risk

Output: A comprehensive security audit report with prioritized vulnerabilities and remediation guidance.

Guidelines

Use zap-baseline.py in CI on every PR since it is non-destructive and catches most common issues passively.
Run full active scans only on staging, never on production, since active scans send attack payloads.
Set up authentication before scanning since unauthenticated scans miss vulnerabilities behind login.
Import OpenAPI specs for API testing to automatically discover endpoints.
Triage alerts by confidence and risk: address High confidence + High risk first.
Exclude false positives with scan policy rules rather than ignoring alerts globally.
Generate both HTML (for humans) and JSON (for automation) reports.