安全性を点検する
スラッシュ /security-review (せきゅりてぃれびゅー)
別名: security-review、セキュリティレビュー、脆弱性チェック
今の変更に、秘密情報漏れや脆弱性などの安全上の問題が無いかを一通り確認する
書式
/security-review これは何
現在のブランチで変わったコードを読んで、「こっそり残っている秘密情報」「危険な入力の受け取り方」「権限が緩すぎる箇所」などを一通りチェックしてくれる機能です。安全検査の窓口のようなもの。
こういう時に使う
公開リポジトリに出す直前、機密を扱う機能を書き終えた後、ログイン周りを触った後など、うっかりが命取りになる場面で。通常の /review よりもセキュリティに重心を置いた観点で読んでくれます。
使い方の例
機能を書き終えたあと、差分がまだ手元にある状態で /security-review と打ちます。Claude が変更ファイルを読み、気になった箇所を「なぜ問題か/どう直すか」の形で列挙します。指摘ごとに本当に危ないのか、誤検知なのかを自分で判断してから対応します。
よくある勘違い
このコマンドが沈黙しても、完全に安全という保証にはなりません。Claude は流し読みしているようなもので、複雑なロジックの穴は見逃します。重要なサービスでは、専用のセキュリティスキャナや人間の目と併用してください。また、漏れた秘密情報は「ファイルから消す」だけでは取り返せません(履歴に残る)。
こういう時に使う
- API キーやパスワードを扱うコードを書き終えた後
- 外からの入力(フォーム、URL パラメータ)を処理する機能を足した時
- 公開リポジトリに push する前の最終チェック