Claude Code、自動セキュリティレビュー機能を追加
Claude Codeに、コードのセキュリティレビューを自動化する機能が追加された。GitHub Actionsとの連携や、新しい/security-reviewコマンドを使用して、開発者はコードの脆弱性を特定し、修正を依頼できる。これにより、脆弱性がproduction環境に到達する前に発見し、対処することが可能になる。
/security-reviewコマンド: ターミナルからアドホックにセキュリティ分析を実行。SQL injectionやcross-site scripting (XSS)などの一般的な脆弱性パターンを検索し、発見された問題の詳細な説明を提供する。- GitHub Actions 連携: 新規pull requestが開かれると自動的にトリガーされ、コードの変更点をレビュー。カスタマイズ可能なルールを適用し、懸念事項を修正案とともにpull requestへインラインでコメントする。
この機能はAnthropic社内でも利用されており、DNS rebindingによるリモートコード実行の脆弱性や、SSRF (Server-Side Request Forgery)攻撃の脆弱性をリリース前に発見、修正した実績がある。両機能はすべてのClaude Codeユーザーが利用可能。