サププライチェーン攻撃が原因と思われるセキュリティ事故のニュースが最近増えてきました。公開しているWordPressプラグインについても、セキュリティ対策をそろそろとるべきかと思い、簡単なスキャンフローをCursorにて導入してみました。

Cursorにてコードの静的検査（SAST)を実施するCIワークフローを作らせる

CircleCIを使っているプラグインなので、CursorにCIのYAMLファイルを作らせましょう。事前にCursorのMCP機能でCircleCI MCPサーバーを接続させておきます。使うかどうかはともかく、CIの実行結果などにアクセスしやすくする意図でセットアップしておきました。

指示内容はこんな感じです。QiitaでDevSecOpsに関する記事を自分で公開しているので、その記事のURLまたはMarkdownをコピーして貼り付けています。

Cursorが数分でCIを実行するYAMLファイルを作ってくれます。作成されたものはPull Requestで提出されます。

CodeRabbitでYAMLを検証する

作成されたYAMLファイルは、念のためAIレビューを経由させます。CodeRabbitがDockerイメージのバージョン指定をdigestで行う提案を出してきました。これはTrivyが改ざんされた時のように、tagの上書きで改ざんされるリスクを回避するためのものです。

修正もCursorにやらせましょう。[Prompt for AI Agents]にあるテキストをそのまま貼り付けます。

修正が終わりました。digestの取得もうまくいっています。

まとめ

DevSecOpsとよばれるジャンルですが、幸いにも基本的なタスクについてはCursor / Claude Codeなどがある程度知識を持っています。また、Qiitaなどに手法を公開しているケースもあるため、それらを参考に始めてみるのがよいでしょう。