Claude Codeに自動セキュリティレビュー機能が追加されました。コード内の脆弱性を特定して修正するのに役立ちます。このガイドでは、/security-reviewコマンドとGitHub Actionsを使用してコードセキュリティを向上させる方法について説明します。
注: 自動セキュリティレビューは多くの一般的な脆弱性を特定するのに役立ちますが、既存のセキュリティプラクティスと手動コードレビューを補完するものであり、置き換えるものではありません。
概要
Claude Codeの自動セキュリティレビューは、開発者が本番環境に到達する前に脆弱性を検出するのに役立ちます。これらの機能は、SQLインジェクションリスク、クロスサイトスクリプティング(XSS)脆弱性、認証の欠陥、不安全なデータ処理、依存関係の脆弱性など、一般的なセキュリティ問題をチェックします。
セキュリティレビューは2つの方法で使用できます。ターミナルでのオンデマンドチェック用の/security-reviewコマンド、またはプルリクエストの自動レビュー用のGitHub Actionsです。
利用可能性
これらの機能は、以下を含むすべてのClaude Codeユーザーが利用できます:
個別の有料プラン(ProまたはMax)のユーザー。
従量課金制APIコンソールアカウントを持つ個人ユーザーまたはエンタープライズ。
/security-reviewコマンドの使用
/security-reviewコマンドを使用すると、コードをコミットする前にターミナルから直接セキュリティ分析を実行できます。
セキュリティレビューの実行
コードの脆弱性をチェックするには:
プロジェクトディレクトリでClaude Codeを開きます。
ターミナルで/security-reviewを実行します。
Claudeがコードベースを分析し、潜在的なセキュリティ上の懸念を特定します。
見つかった各問題について、提供される詳細な説明を確認します。
修正の実装
Claudeが脆弱性を特定した後、修正を直接実装するよう依頼できます。これにより、セキュリティレビューが開発ワークフローに統合され、問題が最も解決しやすい時点で対処できます。
コマンドのカスタマイズ
特定のニーズに合わせて/security-reviewコマンドをカスタマイズできます。設定オプションについては、セキュリティレビューのドキュメントを参照してください。
自動PRレビュー用のGitHub Actionsの設定
GitHub actionをインストールして設定した後、プルリクエストが開かれたときに、すべてのプルリクエストのセキュリティ脆弱性を自動的にレビューします。
インストール
リポジトリの自動セキュリティレビューを設定するには:
リポジトリのGitHub Actions設定に移動します
ドキュメントのステップバイステップインストールガイドに従います
チームのセキュリティ要件に応じてアクションを設定します
動作方法
設定後、GitHub actionは:
新しいプルリクエストが開かれたときに自動的にトリガーされます。
セキュリティ脆弱性についてコード変更をレビューします。
カスタマイズ可能なフィルタリングルールを適用して、誤検知を減らします。
特定された懸念事項と推奨される修正を含むインラインコメントをPRに投稿します。
これにより、チーム全体で一貫したセキュリティレビュープロセスが実現され、マージ前にコードが脆弱性についてチェックされることが保証されます。
カスタマイズオプション
GitHub actionをカスタマイズして、チームのセキュリティポリシーに合わせることができます。これには、コードベースの特定のルールを設定し、異なる脆弱性タイプの感度レベルを調整することが含まれます。
どのようなセキュリティ問題が検出できますか?
/security-reviewコマンドとGitHub actionの両方が、一般的な脆弱性パターンをチェックします:
SQLインジェクションリスク: 潜在的なデータベースクエリの脆弱性を特定します。
クロスサイトスクリプティング(XSS): クライアント側のスクリプトインジェクション脆弱性を検出します。
認証と認可の欠陥: アクセス制御の問題を見つけます。
不安全なデータ処理: データ検証とサニタイゼーションの問題を特定します。
依存関係の脆弱性: サードパーティパッケージの既知の問題をチェックします。
はじめに
自動セキュリティレビューの使