SQLインジェクションや認証の欠陥を自動的に発見 「Claude Code」にセキュリティレビュー機能:“コード安全向上”の新しい機能とは
Anthropicは2025年8月6日、コーディング支援ツール「Claude Code」にセキュリティレビューを自動化する機能を追加したと発表した。同社は、開発現場におけるコードレビューの負担を軽減し、安全なアプリケーション開発を支援するとしている。
Anthropicは2025年8月6日(米国時間)、コーディング支援ツール「Claude Code」に、自動セキュリティレビューの機能を追加したと発表した。開発の早い段階で問題を発見できるため、セキュリティ強化と開発効率向上に効果があるという。
問題の発見だけでなく、解説、修正まで任せられる
今回追加されたセキュリティレビュー機能は2種類ある。1つ目はコマンド「/security-review」を利用するもので、2つ目はGitHubの自動化プラットフォーム「GitHub Actions」を利用するものだ。
コマンド「/security-review」
Claude Code のターミナルで「/security-review」というコマンドを実行すると、コード全体をチェックし、潜んでいる脆弱(ぜいじゃく)性を検出する。Anthropicによると、SQLインジェクションやクロスサイトスクリプティング(XSS)のリスク、認証の欠陥、不適切なデータ処理などの問題が検出可能だ。
発見された問題についてはClaude Codeがその問題の詳細な説明を提示する。さらに、Claude Code自身に修正を任せることもできる。
GitHub Actions
GitHub Actionsを使ったセキュリティレビュー機能は、プルリクエストの内容(コード変更)を自動でチェックする仕組みだ。プルリクエストが作成されるとGitHub Actionsが自動起動し、プルリクエストで提案されたコード変更を詳細に分析し、そこにセキュリティ上の脆弱性がないかをチェックする。見つかった脆弱性や問題点は、該当するコード行に対してインラインでコメントとして自動投稿され、修正案や推奨事項も合わせて表示する。
Anthropicによれば、セキュリティレビューの実施に当たり、自社のセキュリティポリシーに合わせて、適用されるルールのカスタマイズが可能だ。誤検知や既知の問題をフィルタリングする機能も備えているという。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
関連記事
「Claude Code」にカスタマイズ可能な「サブエージェント」機能が登場
Anthropicのエージェント型コーディングツール「Claude Code」で「カスタムサブエージェント」が作成、利用できるようになった。ユーザーは専門性やツールをカスタマイズしたサブエージェントを複数作成し、効率的で高度なワークフローを構築できる。
進化が続くClaude Code リモートMCPだけでなく、VS Codeにも公式で対応
Anthropicのエージェント型コーディングツール「Claude Code」がリモートMCPサーバをサポートしたと発表した。同じタイミングで「Visual Studio Code」でClaude Codeの機能を直接利用できる拡張機能も公開されている。
Anthropicが日本語での指示や解説に強いコーディングツール「Claude Code」の解説ページを公開
Anthropicは、エージェント型コーディングツール「Claude Code」の解説ページを公開した。同ツールは、自然言語を通じて開発者がより速くコーディングできるようサポートするとしている。