jpskill.com
🛠️ 開発・MCP コミュニティ 🔴 エンジニア向け 👤 エンジニア・AI開発者

🛠️ Supply Chain Risk Auditor

supply-chain-risk-auditor

自社の製品やサービスが依存している外部

⏱ RAG構築 1週間 → 1日

📺 まず動画で見る(YouTube)

▶ 【衝撃】最強のAIエージェント「Claude Code」の最新機能・使い方・プログラミングをAIで効率化する超実践術を解説! ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Identifies dependencies at heightened risk of exploitation or takeover. Use when assessing supply chain attack surface, evaluating dependency health, or scoping security engagements.

🇯🇵 日本人クリエイター向け解説

一言でいうと

自社の製品やサービスが依存している外部

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o supply-chain-risk-auditor.zip https://jpskill.com/download/3555.zip && unzip -o supply-chain-risk-auditor.zip && rm supply-chain-risk-auditor.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/3555.zip -OutFile "$d\supply-chain-risk-auditor.zip"; Expand-Archive "$d\supply-chain-risk-auditor.zip" -DestinationPath $d -Force; ri "$d\supply-chain-risk-auditor.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して supply-chain-risk-auditor.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → supply-chain-risk-auditor フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

💬 こう話しかけるだけ — サンプルプロンプト

  • Supply Chain Risk Auditor を使って、最小構成のサンプルコードを示して
  • Supply Chain Risk Auditor の主な使い方と注意点を教えて
  • Supply Chain Risk Auditor を既存プロジェクトに組み込む方法を教えて

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] supply-chain-risk-auditor

ユーザーが「このプロジェクトの依存関係を監査して」と言ったときに起動します。

使用する場面

  • セキュリティ監査の前に依存関係のリスクを評価する場合
  • プロジェクトのサプライチェーン攻撃対象領域を評価する場合
  • メンテナンスされていない、またはリスクの高い依存関係を特定する場合
  • サプライチェーンに関する懸念事項の事前エンゲージメントスコープ設定

使用しない場面

  • アクティブな脆弱性スキャン(npm audit、pip-audit などの専用ツールを使用してください)
  • ランタイム依存関係分析
  • ライセンスコンプライアンス監査

目的

プロジェクトのすべての依存関係を体系的に評価し、悪用や乗っ取りのリスクが高いことを示す危険信号を特定します。これらの問題点をまとめたレポートを作成します。

リスク基準

以下のいずれかのリスク要因がある場合、依存関係は高リスクと見なされます。

  • 単一のメンテナーまたは個人のチーム - プロジェクトが主に、または単独で一人の個人、または少数の個人によってメンテナンスされている場合。プロジェクトが Linux Foundation のような組織や Microsoft のような企業によって管理されていない場合。sindresorhus や Drew Devault のように、そのエコシステムに非常に多作でよく知られた貢献者である場合、リスクは軽減されますが、排除されるわけではありません。逆に、その個人が匿名である(つまり、GitHub のIDが実世界のIDと容易に結びつかない)場合、リスクは著しく増大します。正当性: 開発者が買収されたり、フィッシングに遭ったりした場合、一方的に悪意のあるコードをプッシュする可能性があります。left-pad 事件を考慮してください。
  • メンテナンスされていない - プロジェクトが停滞している(長期間更新がない)か、明示的に非推奨/アーカイブされている場合。メンテナーが README.md または GitHub の issue で、プロジェクトが非アクティブである、人員不足である、または新しいメンテナーを求めている旨のメモを残している場合があります。プロジェクトの GitHub リポジトリに、メンテナーが対応していないバグやセキュリティ問題を示す多数の issue がある場合があります。機能リクエストの issue はカウントされません。正当性: プロジェクトで脆弱性が特定された場合、タイムリーにパッチが適用されない可能性があります。
  • 人気が低い: ターゲットが使用する他の依存関係と比較して、プロジェクトの GitHub スター数やダウンロード数が比較的少ない場合。正当性: ユーザーが少ないということは、プロジェクトに注目する目が少ないということです。悪意のあるコードが導入された場合、タイムリーに気づかれない可能性があります。
  • 高リスク機能: プロジェクトが、FFI、逆シリアル化、またはサードパーティのコード実行など、その性質上、特に悪用されやすい機能を実装している場合。正当性: これらの依存関係はターゲットのセキュリティ体制にとって重要であり、高いレベルの精査を満たす必要があります。
  • 過去の CVE の存在: プロジェクトに高または重大な深刻度の CVE がある場合、特にその人気と複雑さに対して多数ある場合。正当性: これは、非常に人気のあるプロジェクトがより多くの精査を受け、より多くのセキュリティ研究の対象となるため、必ずしも懸念の指標となるわけではありません。
  • セキュリティ連絡先の不在: プロジェクトに .github/SECURITY.mdCONTRIBUTING.mdREADME.md など、またはプロジェクトのウェブサイト(存在する場合)に別途セキュリティ連絡先が記載されていない場合。正当性: 脆弱性を発見した個人は、安全かつタイムリーに報告することが困難になります。

前提条件

続行する前に、gh ツールが利用可能であることを確認してください。見つからない場合は、ユーザーにインストールを依頼してください。

ワークフロー(初期設定)

以下の手順で目的を達成します。

  1. ワークスペース用に .supply-chain-risk-auditor ディレクトリを作成します。
    • このディレクトリに results-template.md に基づいて results.md レポートファイルを作成します。
  2. 直接の依存関係のすべての git リポジトリを見つけます。
  3. git リポジトリのエントリを URL に正規化します。つまり、名前/プロジェクト形式のみの場合は、github URL を前に付加するようにします。

ワークフロー(依存関係監査)

  1. 初期設定で特定した各依存関係のリポジトリについて、上記の「リスク基準」に従ってリスクを評価します。
    • 開いている GitHub issue の数を数えるなど、アクションを必要とする基準については、gh ツールを使用して正確なデータを照会してください。引用する数値(スター数、開いている issue の数など)が正確であることは非常に重要です。issue やスターの数は、~ 表記を使用して丸めることができます。例: "~4000 stars"。
  2. 依存関係が上記の「リスク基準」のいずれかを満たす場合、results.md の「高リスク依存関係」テーブルに追加し、高リスクとしてフラグを立てた理由を明確に記載します。簡潔にするため、低リスクの依存関係はスキップし、少なくとも1つのリスク要因を持つ依存関係のみを記載します。「組織に裏打ちされている(リスクが低い)」依存関係の列を持つなど、リスク要因の「反対」を記載しないでください。レポートに依存関係がないことが、それが低リスクまたはリスクなしであることを示す指標となるべきです。

ワークフロー(監査後)

  1. 「高リスク依存関係」テーブルの各依存関係について、「推奨される代替案」フィールドに、同じまたは類似の機能を実行するが、より人気があり、より適切にメンテナンスされているなどの代替依存関係を記入します。可能であれば、直接の後継やドロップイン代替を優先してください。提案の簡単な正当性を提供してください。
  2. 「リスク要因別カウント」テーブルに各リスク要因カテゴリの合計カウントを記載し、「エグゼクティブサマリー」セクションで全体的なセキュリティ体制を要約します。
  3. 「推奨事項」セクションで推奨事項を要約します。

注: results-template.md に記載されているセクション以外は追加しないでください。

制限事項

  • このスキルは、タスクが上記の範囲と明確に一致する場合にのみ使用してください。
  • 出力を環境固有の検証、テスト、または専門家によるレビューの代わりとして扱わないでください。
  • 必要な入力、権限、安全境界、または成功基準が不足している場合は、停止して説明を求めてください。
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Supply Chain Risk Auditor

Activates when the user says "audit this project's dependencies".

When to Use

  • Assessing dependency risk before a security audit
  • Evaluating supply chain attack surface of a project
  • Identifying unmaintained or risky dependencies
  • Pre-engagement scoping for supply chain concerns

When NOT to Use

  • Active vulnerability scanning (use dedicated tools like npm audit, pip-audit)
  • Runtime dependency analysis
  • License compliance auditing

Purpose

You systematically evaluate all dependencies of a project to identify red flags that indicate a high risk of exploitation or takeover. You generate a summary report noting these issues.

Risk Criteria

A dependency is considered high-risk if it features any of the following risk factors:

  • Single maintainer or team of individuals - The project is primarily or solely maintained by a single individual, or a small number of individuals. The project is not managed by an organization such as the Linux Foundation or a company such as Microsoft. If the individual is an extremely prolific and well-known contributor to the ecosystem, such as sindresorhus or Drew Devault, the risk is lessened but not eliminated. Conversely, if the individual is anonymous — that is, their GitHub identity is not readily tied to a real-world identity — the risk is significantly greater. Justification: If a developer is bribed or phished, they could unilaterally push malicious code. Consider the left-pad incident.
  • Unmaintained - The project is stale (no updates for a long period of time) or explicitly deprecated/archived. The maintainer may have put a note in the README.md or a GitHub issue that the project is inactive, understaffed, or seeking new maintainers. The project's GitHub repository may have a large number of issues noting bugs or security issues that the maintainers have not responded to. Feature request issues do NOT count. Justification: If vulnerabilities are identified in the project, they may not be patched in a timely manner.
  • Low popularity: The project has a relatively low number of GitHub stars and/or downloads compared to other dependencies used by the target. Justification: Fewer users means fewer eyes on the project. If malicious code is introduced, it will not be noticed in a timely manner.
  • High-risk features: The project implements features that by their nature are especially prone to exploitation, including FFI, deserialization, or third-party code execution. Justification: These dependencies are key to the target's security posture, and need to meet a high bar of scrutiny.
  • Presence of past CVEs: The project has high or critical severity CVEs, especially a large number relative to its popularity and complexity. Justification: This is not necessarily an indicator of concern for extremely popular projects that are simply subject to more scrutiny and thus are the subject of more security research.
  • Absence of a security contact: The project has no security contact listed in .github/SECURITY.md, CONTRIBUTING.md, README.md, etc., or separately on the project's website (if one exists). Justification: Individuals who discover a vulnerability will have difficulty reporting it in a safe and timely manner.

Prerequisites

Ensure that the gh tool is available before continuing. Ask the user to install if it is not found.

Workflow (Initial Setup)

You achieve your purpose by:

  1. Creating a .supply-chain-risk-auditor directory for your workspace
    • Start a results.md report file based on results-template.md in this directory
  2. Finding all git repositories for direct dependencies.
  3. Normalizing the git repository entries to URLs, i.e., if they are just in name/project format, make sure to prepend the github URL.

Workflow (Dependency Audit)

  1. For each dependency whose repository you identified in Initial Setup, evaluate its risk according to the Risk Criteria noted above.
    • For any criteria that require actions such as counting open GitHub issues, use the gh tool to query the exact data. It is vitally important that any numbers you cite (such as number of stars, open issues, and so on) are accurate. You may round numbers of issues and stars using ~ notation, e.g. "~4000 stars".
  2. If a dependency satisfies any of the Risk Criteria noted above, add it to the High-Risk Dependencies table in results.md, clearly noting your reason for flagging it as high-risk. For conciseness, skip low-risk dependencies; only note dependencies with at least one risk factor. Do not note "opposites" of risk factors like having a column for "organization backed (lower risk)" dependencies. The absence of a dependency from the report should be the indicator that it is low- or no-risk.

Workflow (Post-Audit)

  1. For each dependency in the High-Risk Dependencies table, fill out the Suggested Alternative field with an alternative dependency that performs the same or similar function but is more popular, better maintained, and so on. Prefer direct successors and drop-in replacements if available. Provide a short justification of your suggestion.
  2. Note the total counts for each risk factor category in the Counts by Risk Factor table, and summarize the overall security posture in the Executive Summary section.
  3. Summarize your recommendations under the Recommendations section

NOTE: Do not add sections beyond those noted in results-template.md.

Limitations

  • Use this skill only when the task clearly matches the scope described above.
  • Do not treat the output as a substitute for environment-specific validation, testing, or expert review.
  • Stop and ask for clarification if required inputs, permissions, safety boundaries, or success criteria are missing.