久しぶりに歩き疲れたyu-ichiです
普段全然歩かないので、土曜日に一日中歩いたら足が筋肉痛になりました。
さて、今回はClaudeのお話です。
Anthropicが、AIコーディングツールの「Claude Code」向けに、リアルタイムで脆弱性を自動で見つけて直してくれる公式プラグイン「security-guidance」を無料でリリースしました!
すべてのプランのユーザーが今すぐ使えます。
今までは手動でセキュリティコマンドを叩いたり、別のツールと連携させたりする手間がありましたが、これからはいつもの開発フローの中にセキュリティチェックが完全に自動で組み込まれるようです。
1.開発フローに密着する「3つのタイミング」で脆弱性を検証
「security-guidance」の一番いいところは、コードを書いてからコミットするまでの流れに合わせて、3つのタイミングで勝手にレビューしてくれる点です。
自分でわざわざコマンドを実行する必要は一切ありません。
タイミングその1:ファイル編集時(超高速・トークン消費ゼロ)
ファイルを編集した瞬間に動くレイヤーです。ここはAIを裏で呼び出さずにローカルのパターンマッチングでチェックするため、APIのトークンを一切消費しません。
開発の手を止めない超高速レスポンスなのも嬉しいポイントです。
タイミングその2:ターン終了時(対話型の自動修正)
AIとのやり取りやコード変更のキリがいいタイミングで、変更履歴をまるごとレビューしてくれます。
もし怪しいところがあれば自動的にClaudeにフィードバックされ、その画面のまま「こう直すと安全だよ」と修正案を出してくれます。
タイミングその3:コミット時(包括的なセキュリティレビュー)
変更した差分だけでなく、周りのコードの文脈まで読み取って本格的な脆弱性検証を行います。
コードインジェクションや、危険なデシリアライズ、認証不備などのヤバい欠陥が本番環境に混ざってしまうのを、コミットの段階で未然に防ぎます。
このプラグインのセキュリティチェックは、実際にコードを書いているClaudeの画面とは別の、完全に独立した裏方のセッションで実行されます。
コードを作った本人(AI)のバイアスを排除して、客観的なサードパーティの視点で厳格にダブルチェックしてくれる仕組みです。
2.社内テストではプルリクのセキュリティ指摘が30〜40%減少!
Anthropicの社内テストによると、このプラグインを導入したことで、プルリクエストのときに出るセキュリティ関連の指摘コメントが30%〜40%も減ったそうです。
人間がレビューして見つける前に、大部分の脆弱性を自動で叩き落としてくれている証拠ですね。
デフォルトのルールだけでなく、自分たちの開発環境に合わせて独自のカスタムルールを追加して拡張できるようにもなっているようです。
3.導入方法(インストールコマンド)
Claude Codeが動く環境なら、以下のコマンドを1行実行するだけでインストールできます。
/plugin install security-guidance@claude-plugins-official
動作に必要な要件は以下の通りです。
・Claude Code CLI:バージョン 2.1.144 以降
・Python:3.8 以降
※入れる前に、一応「claude –version」とかでCLIが最新版になっているか確認しておくと安心です。
AIを使うと爆速でコードを書けますが、うっかり危険なコードを埋め込んでしまうリスクも常に隣り合わせでした。
特にプログラミングの知識や経験の無い初心者でもプログラムが作れる!という紹介動画などが溢れていますが、セキュリティに関して説明がないものがほとんどで、危ないな〜と思っていました。
編集時の無料・爆速チェックから、コミット前のディープレビューまで、強力な防衛線を「無料かつ自動」で用意してくれたのは本当にありがたいですね。
Claude Codeを使っている人は、安全な開発環境を作るために今すぐインストールして試してみてください!
