security-threat-review

Compare original and translation side by side

🇺🇸

Original

English

🇨🇳

Translation

Chinese

/security-threat-review - Red Team / Blue Team 包括セキュリティ評価

/security-threat-review - Red Team / Blue Team Comprehensive Security Assessment

Goal

攻撃者（Red Team）と防御者（Blue Team）の2視点でアプリ全体を評価し、 攻撃シナリオと防御ギャップの対応表を含む統合レポートを出力する。

他のセキュリティスキルとの違い:
/security-audit-quick
= grepベースの既知パターン検出（機械的・高速）
/security-hardening
= 単一脅威の深掘り（脅威モデル→緩和→テスト→ゲート）
/review --focus security
= PR差分のセキュリティレビュー（差分限定）
/security-threat-review
= アプリ全体の攻撃/防御2視点評価（包括的・定期的）

Evaluate the entire application from two perspectives: attackers (Red Team) and defenders (Blue Team), and output an integrated report including an Attack Scenario and Defense Gap Matrix.

Differences from other security skills:
/security-audit-quick
= grep-based known pattern detection (mechanical, fast)
/security-hardening
= in-depth handling of single threats (threat model → mitigation → testing → gate)
/review --focus security
= security review of PR diffs (diff-limited)
/security-threat-review
= holistic attack/defense two-perspective assessment of the entire application (comprehensive, periodic)

Input

引数	説明	デフォルト
`--scope`	評価対象を限定	`all` （アプリ全体）
`--layer`	Blue Team の評価レイヤーを限定（1-8）	全レイヤー

Argument	Description	Default
`--scope`	Limit evaluation target	`all` (entire application)
`--layer`	Limit Blue Team evaluation layers (1-8)	All layers

--scope オプション

--scope Option

値	対象
`all`	アプリ全体（デフォルト）
`api`	`src/app/api/` のみ
`actions`	`src/app/actions/` のみ
`auth`	認証/認可関連のみ
`payment`	Stripe/課金関連のみ
`upload`	ファイルアップロード/処理関連のみ

Value	Target
`all`	Entire application (default)
`api`	Only `src/app/api/`
`actions`	Only `src/app/actions/`
`auth`	Only authentication/authorization related
`payment`	Only Stripe/billing related
`upload`	Only file upload/processing related

例

Examples

bash

undefined

bash

undefined

アプリ全体の包括評価（デフォルト）

Comprehensive evaluation of the entire application (default)

/security-threat-review

API Routesのみ評価

Evaluate only API Routes

/security-threat-review --scope api

認証関連のみ評価

Evaluate only authentication-related areas

/security-threat-review --scope auth

全体評価だが Blue Team は Layer 1-3（認証/認可/入力）のみ

Full evaluation, but Blue Team only assesses Layers 1-3 (Auth/Authorization/Input)

/security-threat-review --layer 1-3

---

/security-threat-review --layer 1-3

---

Workflow

Phase 0: 偵察（攻撃面の把握）

Phase 0: Reconnaissance (Understand Attack Surface)

まず以下を実行し、アプリの攻撃面を把握する:

bash

undefined

First, execute the following to understand the application's attack surface:

bash

undefined

1. 全APIエンドポイント

1. All API endpoints

echo "=== API Routes ===" find src/app/api -name "route.ts" | sort

2. 全Server Actions

2. All Server Actions

echo "=== Server Actions ===" find src/app/actions -name "*.ts" | sort

3. セキュリティモジュール一覧

3. List of security modules

echo "=== Security Modules ===" find src/lib/security -name "*.ts" | sort

4. RLSポリシー数

4. Number of RLS policies

echo "=== RLS Policies ===" grep -r "CREATE POLICY" supabase/migrations/ --include="*.sql" | wc -l

5. テストモード境界

5. Test mode boundaries

echo "=== Test Mode ===" cat src/lib/test-mode.ts | head -50


この情報を**両エージェントへのコンテキストとして渡す**。

echo "=== Test Mode ===" cat src/lib/test-mode.ts | head -50


Pass this information **as context to both agents**.

Phase 1: Red Team / Blue Team 並列実行

Phase 1: Red Team / Blue Team Parallel Execution

2つのエージェントを並列で起動する:

Launch two agents in parallel:

Red Team（攻撃者視点）

Red Team (Attacker Perspective)

text

Task(red-team-attacker):
  このPowerPoint翻訳SaaSを攻撃者の視点で評価してください。

  ## アプリ概要
  - Stack: Next.js 16 + React 19 + Supabase + Stripe + Claude API
  - 機能: PPTXアップロード → テキスト抽出 → Claude翻訳 → ダウンロード
  - 認証: Supabase Auth (Cookie-based)
  - 課金: Stripe Subscriptions

  ## 攻撃面
  [Phase 0の結果を貼る]

  ## スコープ
  [--scope オプションの値]

  出力は .claude/docs/reviewer-output-format.md に従ってください。

text

Task(red-team-attacker):
  Please evaluate this PowerPoint translation SaaS from an attacker's perspective.

  ## App Overview
  - Stack: Next.js 16 + React 19 + Supabase + Stripe + Claude API
  - Features: PPTX Upload → Text Extraction → Claude Translation → Download
  - Authentication: Supabase Auth (Cookie-based)
  - Billing: Stripe Subscriptions

  ## Attack Surface
  [Paste Phase 0 results]

  ## Scope
  [Value of --scope option]

  Please follow the format in .claude/docs/reviewer-output-format.md for output.

Blue Team（防御者視点）

Blue Team (Defender Perspective)

text

Task(blue-team-defender):
  このPowerPoint翻訳SaaSの防御態勢を評価してください。

  ## アプリ概要
  - Stack: Next.js 16 + React 19 + Supabase + Stripe + Claude API
  - 機能: PPTXアップロード → テキスト抽出 → Claude翻訳 → ダウンロード
  - 認証: Supabase Auth (Cookie-based)
  - 課金: Stripe Subscriptions

  ## 防御機構
  [Phase 0の結果を貼る]

  ## スコープ
  [--scope オプションの値]
  [--layer オプションの値]

  出力は .claude/docs/reviewer-output-format.md に従ってください。
  Defense Scorecard（Layer 1-8）を必ず含めてください。

text

Task(blue-team-defender):
  Please evaluate the defense posture of this PowerPoint translation SaaS.

  ## App Overview
  - Stack: Next.js 16 + React 19 + Supabase + Stripe + Claude API
  - Features: PPTX Upload → Text Extraction → Claude Translation → Download
  - Authentication: Supabase Auth (Cookie-based)
  - Billing: Stripe Subscriptions

  ## Defense Mechanisms
  [Paste Phase 0 results]

  ## Scope
  [Value of --scope option]
  [Value of --layer option]

  Please follow the format in .claude/docs/reviewer-output-format.md for output.
  Be sure to include the Defense Scorecard (Layers 1-8).

Phase 2: 結果統合

Phase 2: Result Aggregation

review-aggregator エージェントを使って両チームの出力を統合する。

ただし、通常のPRレビュー統合に加えて、以下を追加出力する:

Use the review-aggregator agent to integrate outputs from both teams.

In addition to regular PR review aggregation, output the following unique to this skill:

攻撃-防御対応表（このスキル固有の出力）

Attack-Defense Matrix (Skill-Specific Output)

両チームの結果を突き合わせ、攻撃シナリオと防御状況の対応表を生成する:

markdown

undefined

Cross-reference results from both teams to generate a matrix of attack scenarios and defense status:

markdown

undefined

Attack-Defense Matrix

#	攻撃シナリオ (Red)	防御状況 (Blue)	Gap	Priority
1	IDOR: 他人のfileIdでダウンロード	RLS + user_idチェック済み	None	-
2	Rate Limit バイパス: ヘッダー偽装	isProductionRuntime()でガード済み	None	-
3	テストモード偽装: X-E2E-Test	fail-closed だが一部チェック漏れ	Partial	High
4	Webhook偽造: 署名なしリクエスト	署名検証あり	None	-
5	翻訳回数制限バイパス	カウンター実装あり、ただしrace condition	Yes	Critical


**Gap の判定基準**:

| Gap | 意味 |
|-----|------|
| **None** | Red Teamの攻撃がBlue Teamの防御で完全に阻止される |
| **Partial** | 防御は存在するが不完全。条件次第で突破可能 |
| **Yes** | 防御が欠如し、攻撃が成立する |

**Priority の判定基準**:

| Priority | 条件 |
|----------|------|
| **Critical** | Gap=Yes かつ 影響がデータ漏えい/権限昇格/課金詐欺 |
| **High** | Gap=Partial かつ 影響が深刻 |
| **Medium** | Gap=Partial かつ 影響が限定的 |
| **Low** | 理論的なリスクのみ |
| **-** | Gap=None（防御済み） |

#	Attack Scenario (Red)	Defense Status (Blue)	Gap	Priority
1	IDOR: Download via others' fileId	RLS + user_id check implemented	None	-
2	Rate Limit Bypass: Header Spoofing	Guarded by isProductionRuntime()	None	-
3	Test Mode Spoofing: X-E2E-Test	Fail-closed but some checks missing	Partial	High
4	Webhook Forgery: Unsigned Requests	Signature verification implemented	None	-
5	Translation Limit Bypass	Counter implemented, but race condition exists	Yes	Critical


**Gap Criteria**:

| Gap | Meaning |
|-----|------|
| **None** | Red Team's attack is completely blocked by Blue Team's defense |
| **Partial** | Defense exists but is incomplete; breakthrough possible under certain conditions |
| **Yes** | Defense is missing, attack is feasible |

**Priority Criteria**:

| Priority | Conditions |
|----------|------|
| **Critical** | Gap=Yes and impact includes data leakage, privilege escalation, or billing fraud |
| **High** | Gap=Partial and impact is severe |
| **Medium** | Gap=Partial and impact is limited |
| **Low** | Theoretical risk only |
| **-** | Gap=None (defended properly) |

Phase 3: 最終レポート出力

Phase 3: Final Report Output

markdown

undefined

markdown

undefined