jpskill.com
🛠️ 開発・MCP コミュニティ

production-ready

プロジェクトを本番環境にデプロイする準備、セキュリティ監査の実施、リリース準備などを行う際に、「本番環境対応」「セキュリティ監査」「リリース準備」といった指示で、必要な作業を効率的に進めるSkill。

📜 元の英語説明(参考)

Use when preparing any project for production deployment, performing security audits, or release preparation. Triggers on "make production ready", "security audit", "prepare for release", "hardening", "pre-deployment checklist".

🇯🇵 日本人クリエイター向け解説

一言でいうと

プロジェクトを本番環境にデプロイする準備、セキュリティ監査の実施、リリース準備などを行う際に、「本番環境対応」「セキュリティ監査」「リリース準備」といった指示で、必要な作業を効率的に進めるSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o production-ready.zip https://jpskill.com/download/9307.zip && unzip -o production-ready.zip && rm production-ready.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/9307.zip -OutFile "$d\production-ready.zip"; Expand-Archive "$d\production-ready.zip" -DestinationPath $d -Force; ri "$d\production-ready.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して production-ready.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → production-ready フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

本番環境対応

あらゆるプロジェクトに対する包括的な本番環境対応、セキュリティ強化、およびプロフェッショナルなリリース準備。

使用するタイミング

  • 初めて本番環境にデプロイする前
  • リリース前の大幅な変更後
  • セキュリティ監査を実施するとき
  • プロジェクトをオープンソース化するとき
  • コンプライアンスレビュー中
  • 新しいコードベースにオンボーディングするとき

クイックスタート

まず、ユーザーにどのモードが必要か尋ねます。

どのレベルの監査が必要ですか?

1. **Quick** - 高速なCIに適したチェック(〜2分)
   - シークレットスキャン
   - 重要な脆弱性のみ

2. **Security** - 詳細なセキュリティ監査(〜10分)
   - すべての脆弱性レベル
   - SBOM生成
   - 構成の強化

3. **Full** - 包括的な監査(〜15分)
   - すべてのセキュリティチェック
   - ドキュメントレビュー
   - CI/CD検証
   - 監視設定チェック

ステップ1:技術スタックの検出

スキャンする前に、プロジェクトの技術スタックと依存関係を特定します。

# プロジェクトファイルを検出してスタックを決定
ls -la | grep -E "package.json|requirements.txt|Cargo.toml|go.mod|Gemfile|pom.xml|build.gradle|composer.json|pubspec.yaml|*.csproj"
検出されたファイル スタック 主要なセキュリティツール
package.json Node.js/JavaScript npm audit, snyk, retire.js
requirements.txt / pyproject.toml Python pip-audit, safety, bandit
Cargo.toml Rust cargo-audit, cargo-deny
go.mod Go govulncheck, gosec
Gemfile Ruby bundle-audit, brakeman
pom.xml / build.gradle Java OWASP Dependency-Check, SpotBugs
composer.json PHP composer audit, phpstan
*.csproj .NET dotnet list package --vulnerable
pubspec.yaml Dart/Flutter dart pub outdated

ステップ2:セキュリティツールの推奨

検出されたスタックに基づいて、適切なツールを推奨します。ツールをインストールする前に、必ずユーザーに確認してください。

ユニバーサルツール(すべてのプロジェクト)

無料/オープンソース(業界標準):

ツール 目的 インストールコマンド
gitleaks git履歴内のシークレット検出 brew install gitleaks または curl -sSfL https://raw.githubusercontent.com/gitleaks/gitleaks/main/scripts/install.sh \| sh
trufflehog 検証付きの詳細なシークレットスキャン brew install trufflehog または curl -sSfL https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh \| sh
syft SBOM生成 brew install syft または curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh \| sh
grype 脆弱性スキャナー(多言語) brew install grype または curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh \| sh
trivy 包括的なセキュリティスキャナー brew install trivy または trivyのドキュメントを参照
semgrep 静的解析(SAST) brew install semgrep または pip install semgrep

有料/エンタープライズ(最先端):

ツール 目的
Snyk フルスペクトラムセキュリティ(SCA、SAST、コンテナ) 無料版あり、エンタープライズ機能は有料
Sonatype Nexus Lifecycle エンタープライズ依存関係管理 SCAの業界リーダー
Checkmarx エンタープライズSAST/DAST 包括的なエンタープライズソリューション
Veracode アプリケーションセキュリティプラットフォーム エンタープライズグレードのスキャン
GitHub Advanced Security 統合セキュリティ(CodeQL、Dependabot) ネイティブなGitHub統合

言語固有のツール

JavaScript/Node.js:

Python:

Go:

Rust:

Ruby:

Java:

ステップ3:ユーザーにツールのインストールを依頼

重要:ツールをインストールする前に、必ずユーザーに確認してください。

検出されたスタックに基づいて、推奨されるツールを提示します。

プロジェクトで[STACK]を使用していることを検出しました。推奨されるセキュリティスキャンツールは次のとおりです。

**必須(ユニバーサル):**
- gitleaks - シークレット検出
- grype - 脆弱性スキャン
- syft - SBOM生成

**スタック固有([STACK]):**
- [tool1] - [purpose]
- [tool2] - [purpose]

**オプション(カバレッジの強化):**
- trivy - 包括的なスキャナー
- semgrep - 静的解析

これらのツールをインストールしますか?
1. はい、推奨されるすべてのツールをインストールします
2. はい、必須のユニバーサルツールのみをインストールします
3. インストールするツールを選択させてください
4. いいえ、手動でインストールします

ユーザーがオプション1、2、または3を選択した場合: 適切なパッケージマネージャーを使用してインストールを進め、ステップ4に進みます。

ユーザーがオプション4を選択した場合: インストールコマンドを提供し、ツールがインストールされたことを確認したら、ステップ4に進みます。

ステップ4:セキュリティスキャンの実行

インストールされたツールと監査モードに基づいてスキャンを実行します。

クイックモード

# シークレットスキャン
gitleaks detect --source=. --no-banner

# 重要な脆弱性

(原文がここで切り詰められています)
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Production Ready

Comprehensive production readiness, security hardening, and professional release preparation for any project.

When to Use

  • Before deploying to production for the first time
  • After major changes before release
  • When conducting security audits
  • When open-sourcing a project
  • During compliance reviews
  • When onboarding to a new codebase

Quick Start

First, ask the user which mode:

Which level of audit do you need?

1. **Quick** - Fast CI-suitable checks (~2 min)
   - Secret scanning
   - Critical vulnerabilities only

2. **Security** - Deep security audit (~10 min)
   - All vulnerability severities
   - SBOM generation
   - Configuration hardening

3. **Full** - Comprehensive audit (~15 min)
   - All security checks
   - Documentation review
   - CI/CD validation
   - Monitoring setup check

Step 1: Detect Tech Stack

Before scanning, identify the project's tech stack and dependencies:

# Detect project files to determine stack
ls -la | grep -E "package.json|requirements.txt|Cargo.toml|go.mod|Gemfile|pom.xml|build.gradle|composer.json|pubspec.yaml|*.csproj"
File Detected Stack Primary Security Tools
package.json Node.js/JavaScript npm audit, snyk, retire.js
requirements.txt / pyproject.toml Python pip-audit, safety, bandit
Cargo.toml Rust cargo-audit, cargo-deny
go.mod Go govulncheck, gosec
Gemfile Ruby bundle-audit, brakeman
pom.xml / build.gradle Java OWASP Dependency-Check, SpotBugs
composer.json PHP composer audit, phpstan
*.csproj .NET dotnet list package --vulnerable
pubspec.yaml Dart/Flutter dart pub outdated

Step 2: Recommend Security Tools

Based on detected stack, recommend appropriate tools. ALWAYS ask the user before installing any tools.

Universal Tools (All Projects)

Free/Open-Source (Industry Standard):

Tool Purpose Install Command
gitleaks Secret detection in git history brew install gitleaks or curl -sSfL https://raw.githubusercontent.com/gitleaks/gitleaks/main/scripts/install.sh \| sh
trufflehog Deep secret scanning with verification brew install trufflehog or curl -sSfL https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh \| sh
syft SBOM generation brew install syft or curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh \| sh
grype Vulnerability scanner (multi-language) brew install grype or curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh \| sh
trivy Comprehensive security scanner brew install trivy or see trivy docs
semgrep Static analysis (SAST) brew install semgrep or pip install semgrep

Paid/Enterprise (State of the Art):

Tool Purpose Notes
Snyk Full-spectrum security (SCA, SAST, containers) Free tier available, enterprise features paid
Sonatype Nexus Lifecycle Enterprise dependency management Industry leader in SCA
Checkmarx Enterprise SAST/DAST Comprehensive enterprise solution
Veracode Application security platform Enterprise-grade scanning
GitHub Advanced Security Integrated security (CodeQL, Dependabot) Native GitHub integration

Language-Specific Tools

JavaScript/Node.js:

Python:

Go:

Rust:

Ruby:

Java:

Step 3: Ask User to Install Tools

CRITICAL: ALWAYS ask the user before installing any tools.

Present the recommended tools based on detected stack:

I've detected your project uses [STACK]. Here are the recommended security scanning tools:

**Required (Universal):**
- gitleaks - Secret detection
- grype - Vulnerability scanning
- syft - SBOM generation

**Stack-Specific ([STACK]):**
- [tool1] - [purpose]
- [tool2] - [purpose]

**Optional (Enhanced Coverage):**
- trivy - Comprehensive scanner
- semgrep - Static analysis

Would you like me to install these tools?
1. Yes, install all recommended tools
2. Yes, but only the required universal tools
3. Let me select which ones to install
4. No, I'll install them manually

If user selects option 1, 2, or 3: Proceed with installation using the appropriate package manager, then continue to Step 4.

If user selects option 4: Provide installation commands and proceed to Step 4 when they confirm tools are installed.

Step 4: Run Security Scans

Execute scans based on installed tools and audit mode:

Quick Mode

# Secret scanning
gitleaks detect --source=. --no-banner

# Critical vulnerabilities only
grype dir:. --fail-on=critical --only-fixed

Security Mode (includes Quick)

# Deep secret scan with verification
trufflehog filesystem . --only-verified

# All high+ vulnerabilities
grype dir:. --fail-on=high --only-fixed

# Generate SBOM
syft dir:. -o cyclonedx-json=sbom.json

# Static analysis (if semgrep installed)
semgrep --config auto --error

Full Mode (includes Security)

All security checks plus documentation, CI/CD, and observability validation.

Step 5: Generate Report

Reports MUST be written to docs/reports/ directory.

Create the directory if it doesn't exist:

mkdir -p docs/reports

Generate a markdown report with today's date:

# Report filename format
REPORT_FILE="docs/reports/security-audit-$(date +%Y-%m-%d).md"

Report Template

The generated report should follow this structure:

# Security Audit Report

**Project:** [project-name]
**Date:** [YYYY-MM-DD]
**Audit Mode:** [Quick|Security|Full]
**Auditor:** Claude Code (production-ready skill)

## Executive Summary

- **Total Checks:** X
- **Passed:** X
- **Failed:** X
- **Warnings:** X

## Tech Stack Detected

- Primary Language: [language]
- Package Manager: [manager]
- Frameworks: [frameworks]

## Tools Used

| Tool | Version | Purpose |
|------|---------|---------|
| gitleaks | X.X.X | Secret detection |
| grype | X.X.X | Vulnerability scanning |
| ... | ... | ... |

## Findings

### Critical Issues (Must Fix)

1. **[Issue Title]**
   - Severity: Critical
   - Location: [file:line]
   - Description: [description]
   - Remediation: [steps to fix]

### High Severity Issues

...

### Medium/Low Severity Issues

...

## Dependency Vulnerabilities

| Package | Current | Fixed In | Severity | CVE |
|---------|---------|----------|----------|-----|
| ... | ... | ... | ... | ... |

## SBOM Summary

- Total Packages: X
- Direct Dependencies: X
- Transitive Dependencies: X
- SBOM Location: `docs/reports/sbom-[date].json`

## Recommendations

1. [Prioritized recommendation]
2. [Prioritized recommendation]
...

## Next Steps

- [ ] Fix critical vulnerabilities
- [ ] Review and remediate high-severity issues
- [ ] Update dependencies with known fixes
- [ ] Re-run audit after fixes

---
*Generated by production-ready skill v2.0.0*

Audit Mode Checklists

Quick Mode Checklist

  • [ ] Secrets: Run gitleaks detect --source=.
  • [ ] Critical Vulns: Run grype dir:. --fail-on=critical
  • [ ] Config Basics: Verify .gitignore includes .env, *.key, *.pem
  • [ ] Generate Report: Write findings to docs/reports/security-audit-[date].md

Security Mode Checklist (includes Quick)

  • [ ] All vulnerabilities: grype dir:. --fail-on=high
  • [ ] SBOM generation: syft dir:. -o cyclonedx-json=docs/reports/sbom-[date].json
  • [ ] Secret deep scan: trufflehog filesystem . --only-verified
  • [ ] Static analysis: semgrep --config auto (if installed)
  • [ ] Dependency review: Check for outdated/unmaintained packages
  • [ ] Configuration hardening:
    • No hardcoded localhost/ports in config files
    • Environment variables for all secrets
    • .env.example exists with placeholder values
  • [ ] Docker security (if applicable):
    • Non-root user specified
    • Pinned base image versions
    • .dockerignore exists
  • [ ] Generate Report: Write comprehensive findings to docs/reports/security-audit-[date].md

Full Mode Checklist (includes Security)

Documentation:

  • [ ] README.md exists with setup instructions
  • [ ] LICENSE file present
  • [ ] CHANGELOG.md maintained
  • [ ] SECURITY.md with vulnerability reporting process
  • [ ] CONTRIBUTING.md (for open source)

CI/CD:

  • [ ] CI pipeline configured (GitHub Actions, GitLab CI, etc.)
  • [ ] Automated tests run on PR/push
  • [ ] Security scanning in pipeline
  • [ ] Build artifacts validated

Observability:

  • [ ] Health check endpoint (/health or /healthz)
  • [ ] Structured logging configured
  • [ ] Error tracking setup (Sentry, etc.)
  • [ ] Metrics collection (if applicable)

Operational:

  • [ ] Environment-specific configs separated
  • [ ] Backup/restore procedures documented
  • [ ] Rollback plan documented
  • [ ] On-call runbook (for critical services)

Generate Report: Write comprehensive findings to docs/reports/security-audit-[date].md

Web Search for Latest Tools

If the detected tech stack requires specialized tools not listed above, search the internet for current (2025+) industry-standard security scanners for that specific technology. Prioritize:

  1. Tools recommended by official language/framework documentation
  2. OWASP-recommended tools
  3. Tools with active maintenance (commits in last 6 months)
  4. Tools with significant GitHub stars (>1000) and community adoption

Security Standards Reference

Based on OWASP Top 10 2025:

Risk Key Mitigations
A01: Broken Access Control Deny by default, validate permissions server-side
A02: Security Misconfiguration Automated hardening, remove defaults, security headers
A03: Supply Chain SBOM, dependency scanning, signed builds
A04: Injection Parameterized queries, input validation
A05: Cryptographic Failures TLS everywhere, strong algorithms, no hardcoded keys

Common Issues & Fixes

Secrets Found

# Rotate the compromised credential immediately
# Then remove from git history:
git filter-branch --force --index-filter \
  "git rm --cached --ignore-unmatch PATH/TO/FILE" \
  --prune-empty --tag-name-filter cat -- --all

# Or use BFG Repo-Cleaner (faster):
bfg --delete-files "*.env"

Vulnerable Dependencies

# Update to patched version
npm update PACKAGE  # or
pip install PACKAGE --upgrade  # or
cargo update PACKAGE

# If no patch available, evaluate alternatives

Exit Criteria

The project is production-ready when:

  1. Zero high/critical vulnerabilities with available fixes
  2. Zero hardcoded secrets detected
  3. All required documentation present
  4. CI/CD pipeline passes all security checks
  5. SBOM generated and stored in docs/reports/
  6. Health checks operational
  7. Security audit report generated in docs/reports/security-audit-[date].md

References

See references/ directory for:

  • research.md - Detailed research findings
  • sources.md - Authoritative sources and links