サイバーニュース.jp

世界のサイバーなニュースを配信

SecureVibes、Claude AIを活用した多言語対応の脆弱性スキャナーを発表

カテゴリ:

SecureVibesの概要

SecureVibesは、現代のアプリケーション向けに設計された革新的なAIネイティブセキュリティシステムであり、AnthropicのClaude AIを活用した多言語対応の包括的な脆弱性スキャナーを発表しました。このツールは、マルチエージェントアーキテクチャと高度な脅威モデリング機能を組み合わせることで、自動化された脆弱性検出において大きな進歩を遂げています。

高度なAIを活用したセキュリティ分析

このプラットフォームは、Claudeのマルチエージェントアーキテクチャを利用して、コードベース内のセキュリティ脆弱性を自律的に特定します。5つの専門AIエージェント(4つのコアエージェントと1つのオプションの動的テストエージェント)が連携し、特定のファイルパスと行番号を含む具体的な証拠とともに、コンテキストを意識したセキュリティ分析を提供します。このアプローチは、従来のパターンマッチングによる脆弱性検出を超え、実際のセキュリティ思考方法論を実装しています。SecureVibesは、Python、JavaScript、TypeScript、Go、Ruby、Java、PHP、C#、Rust、Kotlin、Swiftで書かれたコードを自動的に検出・分析します。また、複数の言語にわたる除外ルールを組み合わせることで、ポリグロットプロジェクトをインテリジェントに処理します。例えば、PythonとTypeScriptのプロジェクトでは、仮想環境ディレクトリとnode_modulesフォルダの両方を自動的に除外し、混在言語コードベースの効率的なスキャンを保証します。

SecureVibesがサポートする言語と自動除外ディレクトリ

SecureVibesは以下の言語をサポートし、それぞれのプロジェクトタイプに応じてコミュニティ標準を尊重したスマートな言語認識除外を自動的に適用します。

  • Python: ファイル拡張子 .py。自動除外ディレクトリ: venv/, env/, .venv/, pycache/, .pytest_cache/, .tox/, .eggs/, *.egg-info/
  • JavaScript: ファイル拡張子 .js, .jsx。自動除外ディレクトリ: node_modules/, .npm/, .yarn/
  • TypeScript: ファイル拡張子 .ts, .tsx。自動除外ディレクトリ: node_modules/, .npm/, .yarn/, dist/, build/
  • Go: ファイル拡張子 .go。自動除外ディレクトリ: vendor/, bin/, pkg/
  • Ruby: ファイル拡張子 .rb。自動除外ディレクトリ: vendor/, .bundle/, tmp/
  • Java: ファイル拡張子 .java。自動除外ディレクトリ: target/, build/, .gradle/, .m2/
  • PHP: ファイル拡張子 .php。自動除外ディレクトリ: vendor/, .composer/
  • C#: ファイル拡張子 .cs。自動除外ディレクトリ: bin/, obj/, packages/
  • Rust: ファイル拡張子 .rs。自動除外ディレクトリ: target/
  • Kotlin: ファイル拡張子 .kt。自動除外ディレクトリ: build/, .gradle/
  • Swift: ファイル拡張子 .swift。自動除外ディレクトリ: .build/, .swiftpm/, Packages/

このインテリジェントなアプローチにより、誤検知を防ぎ、複雑なプロジェクトにおけるスキャン時間を短縮します。

脆弱性検出プロセス

脆弱性検出プロセスは、明確なフェーズを経て展開されます。まず、アセスメントエージェントがコードベースのアーキテクチャを分析し、セキュリティドキュメントを生成します。次に、脅威モデリングエージェントがSTRIDE手法を適用して潜在的な脅威を特定します。その後、コードレビューエージェントがセキュリティ分析の原則を用いて発見された脆弱性を検証します。レポートジェネレーターは、これらの発見を包括的な結果にまとめます。同時に、オプションのDASTエージェントは、HTTPリクエストを通じて動的検証を実行し、悪用可能性を確認します。ユーザーは、完全なスキャンを実行することも、個々のエージェントを個別に実行してコストとスキャン時間を最適化することも可能です。

設定と機能

コマンドラインインターフェースは、Markdown、JSON、ターミナルテーブルなど、多様な出力形式をサポートしています。高度な設定オプションにより、エージェントごとのモデル選択が可能で、組織は予備分析には高速モデルを、重要なコードレビューフェーズにはより徹底的なモデルを使用できます。認証はClaude CLIまたはAPIキー統合を介して行われ、環境変数によるモデル選択と分析深度のカスタマイズもサポートしています。このプラットフォームは、3段階のモデル優先度、エージェントごとの環境変数、CLIフラグ、およびデフォルト設定をサポートしています。SecureVibesは、長時間のスキャンに対してストリーミングモードを実装しており、リアルタイムの進捗状況更新とエージェントのナレーションを提供します。この透明性により、ユーザーは分析プロセスを理解し、長時間のスキャンセッション中の不確実性を排除できます。スキャン全体を通してコスト追跡が表示され、組織はAPI費用をリアルタイムで監視できます。

プライバシーとデータ保護

このツールは、ソースコードと相対ファイルパスをAnthropicのClaude APIに送信しますが、絶対パス、環境変数、Gitメタデータなどの機密情報は意図的に除外します。ユーザーはスキャン範囲を完全に制御でき、独自のコードベースを分析する前にAnthropicのプライバシーポリシーを確認する必要があります。

最新リリースと利用可能性

最新リリースであるバージョン0.3.1では、DASTサブエージェント機能と強化された多言語サポートが特徴です。このプラットフォームはPyPIで利用可能であり、組織のさまざまなニーズに対応するために、クラシックモードとストリーミングスキャンモードの両方をサポートしています。

元記事: https://gbhackers.com/securevibes-introduces-multi-language-vulnerability/

投稿をさらに読み込む