Shieldbot: Claude Code用オープンソースセキュリティスキャナープラグイン

Shieldbotの機能
Shieldbotは、Claude Code内で直接プラグインとして動作するオープンソースのセキュリティスキャナーです。開発環境にスキャン機能を統合することで、エディタと別のセキュリティツールを切り替える必要がなくなります。
インストールと使用方法
以下のコマンドでインストールします:
/plugin marketplace add BalaSriharsha/shieldbot
/plugin install shieldbot
/shieldbot .また、「このリポジトリをセキュリティ問題についてスキャンして」や「依存関係のCVEをチェックして」などの自然なコマンドで対話することもでき、エージェントがリクエストを処理します。
スキャナーの統合
このツールは6つのスキャナーを並列で実行します:
- Semgrep(OWASP Top 10、CWE Top 25、インジェクション、XSS、SSRFをカバーする5,000以上のコミュニティルール)
- Bandit(Pythonセキュリティ)
- Ruff(Python品質/セキュリティ)
- detect-secrets(ソースコード内のAPIキー、トークン、パスワードを検出)
- pip-audit(Python依存関係のCVE)
- npm audit(Node.jsのCVE)
結果の処理
検出結果はスキャナー間で重複排除されるため、複数のツール(SemgrepとBanditなど)によって報告された同じバグは一度だけ表示されます。Claudeはすべてを統合して優先順位付けされたレポートを生成し、以下を含みます:
- リスクスコア
- 概要
- 具体的なコード修正
- 誤検知の可能性の識別
実環境でのテスト
開発者はまずShieldbot自体で実行し、HTMLレポーター内で見逃されていたJinja2 XSS脆弱性を検出しました。スキャンの結果、秘密情報検出では1つの実際の検出とゼロの誤検知でした。
CI/CD統合
ShieldbotはCIパイプライン用のGitHub Actionとしても機能します:
- uses: BalaSriharsha/shieldbot@main検出結果はSARIF出力を介してGitHubのSecurityタブに表示されます。
プライバシーとアーキテクチャ
すべてはローカルで実行され、コードがマシンから流出することはありません。MCPサーバーはスキャナー結果をstdio経由でClaude Codeにパイプします。
プロジェクト詳細
このプロジェクトはMITライセンスで、https://github.com/BalaSriharsha/shieldbot でGitHub上で利用可能です。開発者はフィードバックを求めており、特に追加のスキャナーやレポート機能についてユーザーが何を望んでいるかについての意見を募集しています。
📖 Read the full source: r/ClaudeAI
👀 See Also

RAG学習アカデミーは、20の専門エージェントを内蔵したClaude Code内に構築されています。
ある開発者が、Claude Code内に20の専門エージェント、17のスラッシュコマンド、知識レベルを評価する9モジュールのカリキュラムを備えたインタラクティブなRAG学習アカデミーを作成しました。デフォルトではオープンソースツールを使用しています。

Claude CodeにおけるFable 5:初日コスト分析 — API換算210ドル、支払額0ドル
開発者がClaude Codeでclaude-fable-5に切り替え、742回の応答にわたるトークン使用量を測定。API換算コストは$210.15。実際の支払いは、6月22日までのプラン期間中は$0。

InsForge: AIコーディングエージェント向けオープンソースバックエンドプラットフォーム
InsForgeは、管理されたデータベース、認証、ストレージ、コンピュート、ホスティング、AIゲートウェイを提供するオープンソースのバックエンドプラットフォーム(Apache 2.0)です。CLIまたはMCPから制御可能です。

AI-Setup CLIツールは、ローカルLLMスタック用のAI設定ファイルを自動生成します。
AI-Setupは、コードベースをスキャンし、.cursorrulesやclaude.mdなどのAI設定ファイルを自動生成するCLIツールです。使用している技術スタックを検出するため、新しいプロジェクトごとに手動でルールを書く必要がなくなります。