AI時代に叶えるセキュアなコードレビュー

AI時代に叶えるセキュアなコードレビューレバテックMeetup～AI時代のコードレビューの在り方～株式会社USEN-ALMEX AIエバンジェリストチーム興野大雅

自己紹介株式会社 USEN-ALMEX 興野大雅 R＆D本部開発部バックエンド開発グループ兼 CTO室
採用・育成センター兼 AIエバンジェリストチーム外部活動 AIエージェントユーザー会 (AIAU) 運営 AI駆動開発勉強会運営個人的な出来事貯金はなくなってもいいやのスタンスで口座残高を特に気にせず AI課金をしていたら、諸々含めて今年だけで 130万円貯金が減ってました...... 元を取るしかねぇ！！な気持ちです X(旧Twitter) https://x.com/taiga_kk322

今回の目的 AI時代のコードレビューの在り方について議論する対象は？・他社様のコードレビューの実例を通じて学びたい方・AI時代のコードレビューについて悩んでいる方・AIを日常的に開発に取り入れている方
・最新の技術や IT業界のトレンドへの感度が高い方・エンジニア同士の交流や企業との情報交換に積極的な方等 Connpassページより(https://levtechcareer.connpass.com/event/371831/)

そもそもAI時代になって何が変わった？？

AIが書いたよく分からんコードが増えたあと、プルリクの量も増えた

特に非同期型のエージェントの場合 VSCodeやCursor、Windsurfなどエディタ上でコードを書く場合ある程度の把握は可能ただし、これからの時代開発効率を向上するためには必ず Devin background agent coding agent
Codex Jules といった非同期エージェントの活用が必要となる

非同期エージェントが出してきたコードの全把握は無理！！

ではどうするべきか？

とりまルールファイルの整備とテストコードと静的解析と脆弱性診断をぶん回せ！！

おすすめのAIコードレビューは？？

CodeRabbit Proプラン！！

なぜか？？ LinterやSAST(Static Application Security Testing)ツールによる診断が可能！！ CodeRabbit公式ページより (https://www.coderabbit.ai/ja/pricing)

診断結果脆弱性に関する問題に指摘があることを確認基本的な設定はデフォルトでオンになっていることが多いので、導入コストも低いプルリクエストにおけるowaspセキュリティレビューの自動化方法という記事もある https://www.coderabbit.ai/ja/blog/how-to-automate-owa sp-security-reviews-in-your-pull-requests-ja

うち、CodeRabbit使えないんだけど......

GitHub Actionsで診断を回す CodeRabbitのProプランが使えない場合、基本的にはルールファイル等でカスタマイズしたAIコードレビューを使用することになるなので脆弱性診断であればOWASP ZAPなどを GitHub Actionsで動かしその結果をプルリクエストのコメントとして反映
それをコンテキストとしてAIでレビュー・修正させる方法が良い ZAP API Scan https://github.com/marketplace/actions/zap-api-scan

GitHub Actionsで診断を回すレビューをさせて見るとそれなりにセキュリティに関する指摘が増えたように見える確実な数値は出せていないがある程度の改善は見込めそう

Devinで修正 Devinで開発を行なっている場合、 Devinにレビュー結果を渡して修正指示を行うことで修正だけでなく CIが通るまで繰り返し確認をしてくれる他の非同期型ではここまでの自律性はないため Devinで実装→テスト＆静的解析＆脆弱性診断→Devinに修正依頼というフローを行うとより品質の高い状態でコードの確認ができる

開催予告イベント開催予告 Cursor Meetup Tokyo #2 【概要】
あの⼤盛況だったCursorMeetupが再び！【開催⽇】 2025年10⽉29⽇【開催場所】 Abema Towers

Thank you

AI時代に叶えるセキュアなコードレビュー

AI時代に叶えるセキュアなコードレビュー

taiga

More Decks by taiga

Featured

Transcript