Shieldbot: Claude Code용 오픈소스 보안 스캐너 플러그인

Shieldbot의 기능

Shieldbot은 Claude Code 내부에서 직접 플러그인으로 실행되는 오픈소스 보안 스캐너입니다. 개발 환경에 스캐닝 기능을 통합하여 편집기와 별도의 보안 도구 사이를 전환할 필요를 없앱니다.

설치 및 사용법

다음 명령어로 설치하세요:

/plugin marketplace add BalaSriharsha/shieldbot
/plugin install shieldbot
/shieldbot .

"이 저장소를 보안 문제로 스캔해줘" 또는 "내 의존성의 CVE를 확인해줘"와 같은 자연어 명령으로도 상호작용할 수 있으며, 에이전트가 요청을 처리합니다.

스캐너 통합

이 도구는 6개의 스캐너를 병렬로 실행합니다:

• Semgrep (OWASP Top 10, CWE Top 25, 인젝션, XSS, SSRF를 포함하는 5,000개 이상의 커뮤니티 규칙)
• Bandit (Python 보안)
• Ruff (Python 품질/보안)
• detect-secrets (소스 코드에서 API 키, 토큰, 비밀번호 찾기)
• pip-audit (Python 의존성 CVE)
• npm audit (Node.js CVE)

결과 처리

발견 사항은 스캐너 간에 중복 제거되므로, 여러 도구(예: Semgrep과 Bandit)에서 보고된 동일한 버그는 한 번만 표시됩니다. Claude는 모든 것을 다음이 포함된 우선순위 보고서로 종합합니다:

• 위험 점수
• 실행 요약
• 구체적인 코드 수정 사항
• 가능한 오탐지 식별

실제 테스트

개발자는 먼저 Shieldbot을 자체적으로 실행했으며, HTML 보고자에서 놓쳤던 Jinja2 XSS 취약점을 발견했습니다. 이 스캔은 비밀 탐지에서 실제 발견 사항 1건과 오탐지 0건의 결과를 냈습니다.

CI/CD 통합

Shieldbot은 CI 파이프라인을 위한 GitHub Action으로도 작동합니다:

- uses: BalaSriharsha/shieldbot@main

발견 사항은 SARIF 출력을 통해 GitHub의 Security 탭에 나타납니다.

개인정보 보호 및 아키텍처

모든 것은 로컬에서 실행되며 코드가 사용자의 시스템을 떠나지 않습니다. MCP 서버는 스캐너 결과를 stdio를 통해 Claude Code로 전송합니다.

프로젝트 세부 정보

이 프로젝트는 MIT 라이선스로 제공되며 https://github.com/BalaSriharsha/shieldbot에서 확인할 수 있습니다. 개발자는 특히 사용자가 추가로 원하는 스캐너나 보고서 기능에 대한 피드백을 구하고 있습니다.