Shieldbot: Claude Code用オープンソースセキュリティスキャナープラグイン

Shieldbotの機能

Shieldbotは、Claude Code内で直接プラグインとして動作するオープンソースのセキュリティスキャナーです。開発環境にスキャン機能を統合することで、エディタと別のセキュリティツールを切り替える必要がなくなります。

インストールと使用方法

以下のコマンドでインストールします：

/plugin marketplace add BalaSriharsha/shieldbot
/plugin install shieldbot
/shieldbot .

また、「このリポジトリをセキュリティ問題についてスキャンして」や「依存関係のCVEをチェックして」などの自然なコマンドで対話することもでき、エージェントがリクエストを処理します。

スキャナーの統合

このツールは6つのスキャナーを並列で実行します：

• Semgrep（OWASP Top 10、CWE Top 25、インジェクション、XSS、SSRFをカバーする5,000以上のコミュニティルール）
• Bandit（Pythonセキュリティ）
• Ruff（Python品質/セキュリティ）
• detect-secrets（ソースコード内のAPIキー、トークン、パスワードを検出）
• pip-audit（Python依存関係のCVE）
• npm audit（Node.jsのCVE）

結果の処理

検出結果はスキャナー間で重複排除されるため、複数のツール（SemgrepとBanditなど）によって報告された同じバグは一度だけ表示されます。Claudeはすべてを統合して優先順位付けされたレポートを生成し、以下を含みます：

• リスクスコア
• 概要
• 具体的なコード修正
• 誤検知の可能性の識別

実環境でのテスト

開発者はまずShieldbot自体で実行し、HTMLレポーター内で見逃されていたJinja2 XSS脆弱性を検出しました。スキャンの結果、秘密情報検出では1つの実際の検出とゼロの誤検知でした。

CI/CD統合

ShieldbotはCIパイプライン用のGitHub Actionとしても機能します：

- uses: BalaSriharsha/shieldbot@main

検出結果はSARIF出力を介してGitHubのSecurityタブに表示されます。

プライバシーとアーキテクチャ

すべてはローカルで実行され、コードがマシンから流出することはありません。MCPサーバーはスキャナー結果をstdio経由でClaude Codeにパイプします。

プロジェクト詳細

このプロジェクトはMITライセンスで、https://github.com/BalaSriharsha/shieldbot でGitHub上で利用可能です。開発者はフィードバックを求めており、特に追加のスキャナーやレポート機能についてユーザーが何を望んでいるかについての意見を募集しています。