クロード・コード・セキュリティ・レビュー：コードのセキュリティ脆弱性を自動スキャンするGitHubツール

クロード コード・セキュリティ・レビューは、以下のプログラムである。 アンソロピック GitHub Actionは、コードのセキュリティ脆弱性のスキャンを自動化するために開発されたツールです。クロードAIモデルの強力なセマンティック分析機能を活用し、プルリクエストのコード変更の詳細なセキュリティレビューを実行します。このツールは、SQLインジェクション、特権の昇格、ハードコードされたキーなどの潜在的なセキュリティリスクを検出するためにコードのセマンティクスを分析し、問題の説明、重大度の評価、および修正の推奨事項を含む詳細なコメントをGitHubのプルリクエストに自動的に生成します。このツールは、すべてのプログラミング言語をサポートし、誤検出を減らし、開発者が開発プロセス中にセキュリティ問題を素早く見つけて修正するのに適している。このツールは既存のワークフローに簡単に統合でき、コードが本番環境にコミットされる前に、より安全であることを保証する。

機能一覧

• 自動セキュリティレビュー：GitHubのプルリクエストのコード変更を自動的にスキャンし、潜在的なセキュリティ脆弱性を検出します。
• セマンティック分析：クロードAIを活用してコードの文脈を理解し、従来のパターンマッチングを超えて、より正確な脆弱性検出を提供する。
• プルリクエストコメント：プルリクエストに、問題の説明、重大度評価、修正勧告を含む、詳細なセキュリティ問題コメントを自動的に生成する。
• 多言語サポート：どのプログラミング言語でも、言語固有の設定は必要ありません。
• 誤アラームフィルタリング：高度なアルゴリズムにより、影響の少ない誤アラーム検出を減らし、レビュー効率を向上させます。
• カスタマイズ可能なスキャン：ユーザー定義のセキュリティ・レビュー・ルールをサポートし、特定のプロジェクトのニーズに対応します。
• コマンドラインのサポート：以下を提供する。 /security-review コマンドを使えば、開発者はターミナルで手動でセキュリティー・スキャンを発動させることができる。

ヘルプの使用

設置プロセス

使用方法 クロード・コード Security Review をインストールするには、まず GitHub リポジトリのワークフローに組み込む必要があります。詳しいインストール手順は以下の通りです：

1. 予備::
   • GitHub リポジトリで GitHub Actions が有効になっていることを確認してください。
   • Anthropic APIキーを取得します。Anthropicコンソールにアクセスしてキーを取得します。
   • GitHub リポジトリにある 設定 > 秘密と変数 > アクション の中で 新しいリポジトリの秘密という名前のファイルを追加する。 ANTHROPIC_API_KEY キーを入力し、Anthropic APIキーを入力してください。
2. GitHubアクションの設定::
   • リポジトリのルート・ディレクトリに .github/workflows/ フォルダー
   • YAMLファイル（例えば security-review.ymlを参照）、以下のサンプル・コードをコピーしてください：

     name: Security Review
     on:
     pull_request:
     types: [opened, synchronize]
     jobs:
     security:
     runs-on: ubuntu-latest
     permissions:
     pull-requests: write
     contents: read
     steps:
     - uses: actions/checkout@v4
     with:
     ref: ${{ github.event.pull_request.head.sha }}
     fetch-depth: 2
     - uses: anthropics/claude-code-security-review@main
     with:
     comment-pr: true
     claude-api-key: ${{ secrets.ANTHROPIC_API_KEY }}
     

   • ファイルを保存し、リポジトリに提出します。プルリクエストがトリガーされるたびに、ツールが自動的に実行され、コードをスキャンします。
3. 手動トリガー（オプション）::
   • Claude Code CLI (Command Line Instrument)をローカルにインストールします。以下のコマンドを実行する：

     npm install -g @anthropic-ai/claude-code
     

   • プロジェクト・ディレクトリに移動し、実行する：

     claude
     

   • クロードコード端末で /security-reviewセキュリティ・スキャンは手動でトリガーできる。

機能 操作の流れ

1.自動化されたプルリクエストのレビュー

開発者がプルリクエストを提出すると、Claude Code Security Review が自動的に起動し、変更されたコードファイルを分析します。それは

• SQLインジェクション、クロスサイト・スクリプティング攻撃（XSS）、ハードコードされたキーなどの潜在的な脆弱性についてコードをスキャンする。
• プルリクエストのコメントセクションに、各問題のコード行、問題の説明、重大度の評価、修正勧告を記載した詳細なレポートを作成します。例

  ## Claude Code Review
  **文件**: src/auth.js
  **行号**: 42
  **问题**: 检测到硬编码密钥，可能导致敏感信息泄露。
  **严重性**: 高
  **建议**: 将密钥移至环境变量，使用安全的密钥管理工具。
  *Generated by Claude Code*
  

• 開発者はコメントに基づいてコードを直接修正し、問題を修正して再送信すれば、ツールはそれを再度スキャンする。

2.手動操作 /security-review

開発プロセスにおいて、開発者はローカルで /security-review コマンドでセキュリティチェックを行う：

• プロジェクト・ディレクトリーがGitリポジトリであることを確認する。 git init (初期化）。
• クロードコードCLIを起動し、次のように入力します。 /security-review.
• このツールは、現在のGitステージング・エリア(git diff --staged)のコード変更について、セキュリティ・レポートを作成する。
• ディレクトリがGitリポジトリでない場合、このコマンドは "fatal: not a git repository "というメッセージでエラーになります。次のように実行することをお勧めします。 git init.

3.カスタム・セキュリティ・ルール

開発者は、特定のニーズに合わせてセキュリティクリアランスのルールをカスタマイズできる：

• プロジェクトのルート・ディレクトリに .claude/commands/ フォルダー
• の公式リポジトリをコピーする。 security-review.md ファイルをそのフォルダにコピーする。
• コンパイラ security-review.mdまた、特定のタイプの誤検出を無視したり、組織固有のチェックを追加するなど、特定のルールを追加することもできる。
• カスタムルールの例：

  Review this code for security vulnerabilities, ignoring minor linting issues.
  Focus on: SQL injection, XSS, and hardcoded credentials.
  

• 保存して再実行 /security-reviewこのツールは新しいルールに従って導入される。

4.誤報フィルタリングと最適化

このツールには、不要な警告を減らすための高度な誤報フィルタリング機構が組み込まれています。開発者はさらに最適化することができます：

• ある security-review.md 特定のファイルやパターンを無視するなどのフィルタリングルールを追加する。
• 利用する allowed_tools パラメーターはツールが実行するコマンドを制限する：

  allowed_tools: "Bash(git diff:*),View,GlobTool,GrepTool"
  

ほら

• APIキーが漏洩しないように安全に保管されていることを確認する。
• 定期的にClaude Code CLIとGitHub Actionを最新バージョンにアップデートし、最新のセキュリティルールと修正を行う。
• もし遭遇したら /security-review 失敗したら、プロジェクト・ディレクトリがGitリポジトリであることと、Claude Codeが正しくインストールされていることを確認してください。

アプリケーションシナリオ

1. 迅速な開発におけるセキュリティチェック
   急速にコードを反復している開発者は、Claude Code Security Review を使ってプルリクエストを自動的にスキャンし、新しいコードにセキュリティ脆弱性が含まれていないことを確認することで、手作業によるレビューの時間を節約できます。
2. チームワークにおけるコードレビュー
   開発チームは、GitHub のワークフローにツールを統合することで、プルリクエストごとにセキュリティレポートを自動生成し、チームメンバーが低レベルの脆弱性よりもアーキテクチャ上の問題に集中できるようにする。
3. レガシーコードのメンテナンス
   古いコード・ベースのメンテナンスを行う場合は /security-review コマンドはコードをスキャンし、古い暗号化アルゴリズムや安全でない特権制御のような隠れたセキュリティ問題を発見する。
4. コンプライアンス要件
   厳しいコンプライアンス基準（SOC 2、ISO 27001など）を満たす必要がある組織は、このツールを使用して、コードがセキュリティ仕様を満たしていることを確認し、セキュリティレビューの追跡可能な記録を作成する。

品質保証

1. クロード・コード・セキュリティ・レビューがサポートするセキュリティ脆弱性の種類は何ですか？
   このツールは、SQLインジェクション、コマンドインジェクション、クロスサイトスクリプティング攻撃（XSS）、特権の昇格、ハードコードされたキー、機密データの漏洩、脆弱な暗号化アルゴリズムなど、幅広い脆弱性を検出します。セマンティック分析により、より正確な検出結果を提供します。
2. どうすれば誤報を減らせるのか？
   このツールには偽陽性のフィルタリング機構が組み込まれている。ユーザーは .claude/commands/security-review.md ファイルに特定のルールを追加したり、優先順位の低い特定の問題を無視したりして、結果をさらに最適化する。
3. 特定のプログラミング言語のサポートが必要ですか？
   必要ない。このツールは言語にとらわれず、あらゆるプログラミング言語で動作し、コード変更のセマンティクスを直接分析する。
4. 非Gitリポジトリでの使用方法 /security-review?
   現在のバージョンでは、プロジェクト・ディレクトリがGitリポジトリである必要があります。Gitリポジトリでない場合は、プロジェクト・ディレクトリで git init 初期化。
5. APIキーを保護するにはどうすればよいですか？
   キーを GitHub Actions の暗号化変数 (ANTHROPIC_API_KEY)、コードや設定ファイルでのハードコーディングは避けてください。