メインコンテンツにスキップ

Claude コードの自動セキュリティレビュー

今日アップデートされました

Claude Codeに自動セキュリティレビュー機能が追加されました。コード内の脆弱性を特定して修正するのに役立ちます。このガイドでは、/security-reviewコマンドとGitHub Actionsを使用してコードセキュリティを向上させる方法について説明します。

注: 自動セキュリティレビューは多くの一般的な脆弱性を特定するのに役立ちますが、既存のセキュリティプラクティスと手動コードレビューを補完するものであり、置き換えるものではありません。

概要

Claude Codeの自動セキュリティレビューは、開発者が本番環境に到達する前に脆弱性を検出するのに役立ちます。これらの機能は、SQLインジェクションリスク、クロスサイトスクリプティング(XSS)脆弱性、認証の欠陥、不安全なデータ処理、依存関係の脆弱性など、一般的なセキュリティ問題をチェックします。

セキュリティレビューは2つの方法で使用できます。ターミナルでオンデマンドチェックを行う/security-reviewコマンド、またはプルリクエストの自動レビューを行うGitHub Actionsです。

利用可能性

これらの機能は、以下を含むすべてのClaude Codeユーザーが利用できます。

  • 個別の有料プラン(ProまたはMax)のユーザー。

  • 従量課金制APIコンソールアカウントを持つ個人ユーザーまたはエンタープライズ。

/security-reviewコマンドの使用

/security-reviewコマンドを使用すると、コードをコミットする前にターミナルから直接セキュリティ分析を実行できます。

セキュリティレビューの実行

コードの脆弱性をチェックするには:

  1. プロジェクトディレクトリでClaude Codeを開きます。

  2. ターミナルで/security-reviewを実行します。

  3. Claudeがコードベースを分析し、潜在的なセキュリティ上の懸念を特定します。

  4. 見つかった各問題について、提供される詳細な説明を確認します。

修正の実装

Claudeが脆弱性を特定した後、修正を直接実装するよう依頼できます。これにより、セキュリティレビューが開発ワークフローに統合され、問題が最も解決しやすい時点で対処できます。

コマンドのカスタマイズ

特定のニーズに合わせて/security-reviewコマンドをカスタマイズできます。設定オプションについては、セキュリティレビューのドキュメントを参照してください。

GitHub Actionsの自動PRレビューの設定

GitHub Actionをインストールして設定した後、プルリクエストが開かれたときに、セキュリティ脆弱性について自動的にレビューします。

インストール

リポジトリの自動セキュリティレビューを設定するには:

  1. リポジトリのGitHub Actions設定に移動します

  2. ドキュメントのステップバイステップインストールガイドに従います

  3. チームのセキュリティ要件に応じてアクションを設定します

動作方法

設定後、GitHub Actionは:

  • 新しいプルリクエストが開かれたときに自動的にトリガーされます。

  • セキュリティ脆弱性についてコード変更をレビューします。

  • カスタマイズ可能なフィルタリングルールを適用して、誤検知を減らします。

  • 特定された懸念事項と推奨される修正を含むインラインコメントをPRに投稿します。

これにより、チーム全体で一貫したセキュリティレビュープロセスが実現され、マージ前にコードが脆弱性についてチェックされることが保証されます。

カスタマイズオプション

GitHub Actionをカスタマイズして、チームのセキュリティポリシーに合わせることができます。これには、コードベースの特定のルールを設定し、異なる脆弱性タイプの感度レベルを調整することが含まれます。

どのようなセキュリティ問題が検出できますか?

/security-reviewコマンドとGitHub Actionの両方が、一般的な脆弱性パターンをチェックします:

  • SQLインジェクションリスク: 潜在的なデータベースクエリの脆弱性を特定します。

  • クロスサイトスクリプティング(XSS): クライアント側のスクリプトインジェクション脆弱性を検出します。

  • 認証と認可の欠陥: アクセス制御の問題を見つけます。

  • 不安全なデータ処理: データ検証とサニタイゼーションの問題を特定します。

  • 依存関係の脆弱性: サードパーティパッケージの既知の問題をチェックします。

はじめに

自動セキュリティレビューの使用を開始するには:

  • /security-reviewコマンドの場合: Claude Codeを最新バージョンに更新し(実行)、プロジェクトディレクトリで/security-reviewを実行します。

    • Claude Codeは最新の機能とセキュリティ修正を確保するために自動的に自身を更新しますが、claude updateを実行して手動で更新することもできます。

  • GitHub Actionsの場合: インストールと設定の手順については、ドキュメントを参照してください。

ベストプラクティス

最適な結果を得るために、重大な変更をコミットする前に/security-reviewを実行し、本番コードを含むすべてのリポジトリに対してGitHub Actionを設定することをお勧めします。チームの特定のセキュリティ要件とコードベースの特性に基づいて、フィルタリングルールを調整することを検討してください。

関連記事
Claude インテグレーションのセットアップ
Claudeでファイルを作成・編集する
リリースノート
Claude Code FAQ
Claude Code on the web
こちらの回答で解決しましたか?