この記事の操作
サププライチェーン攻撃が原因と思われるセキュリティ事故のニュースが最近増えてきました。公開しているWordPressプラグインについても、セキュリティ対策をそろそろとるべきかと思い、簡単なスキャンフローをCursorにて導入してみました。
Cursorにてコードの静的検査(SAST)を実施するCIワークフローを作らせる
CircleCIを使っているプラグインなので、CursorにCIのYAMLファイルを作らせましょう。事前にCursorのMCP機能でCircleCI MCPサーバーを接続させておきます。使うかどうかはともかく、CIの実行結果などにアクセスしやすくする意図でセットアップしておきました。

指示内容はこんな感じです。QiitaでDevSecOpsに関する記事を自分で公開しているので、その記事のURLまたはMarkdownをコピーして貼り付けています。

Cursorが数分でCIを実行するYAMLファイルを作ってくれます。作成されたものはPull Requestで提出されます。

CodeRabbitでYAMLを検証する
作成されたYAMLファイルは、念のためAIレビューを経由させます。CodeRabbitがDockerイメージのバージョン指定をdigestで行う提案を出してきました。これはTrivyが改ざんされた時のように、tagの上書きで改ざんされるリスクを回避するためのものです。

修正もCursorにやらせましょう。[Prompt for AI Agents]にあるテキストをそのまま貼り付けます。

修正が終わりました。digestの取得もうまくいっています。

まとめ
DevSecOpsとよばれるジャンルですが、幸いにも基本的なタスクについてはCursor / Claude Codeなどがある程度知識を持っています。また、Qiitaなどに手法を公開しているケースもあるため、それらを参考に始めてみるのがよいでしょう。
開発ノートをもっと読む
技術的な学びや実践的な開発ノートをもっと探索してみませんか?
⭐ この記事への反応
はてなアカウントでスターを付けることができます
関連記事
Claude Code のFable5でRemix2 -> React Router 7のマイグレーションさせてみた
Fable 5 の発表ページを読んでいたら、おすすめユースケースにこんな記述がありました。 Software engineering. During early testing, Stripe reported that […]
Kiro IDE に AI-DLC v2 を入れて PoC を完走させた記録
2026-06-24 時点の情報です。AI-DLC v2 は preview 段階(v2.0.2)であり、仕様は変更される可能性があります。 2026-06-18 に aidlc-workflows リポジトリの v2 […]
KiroのProプランをFreeに戻した時の覚書
最近AIコーディング疲れを起こしている感じもあり、使用頻度の低いツールを解約したりダウングレードしています。今回はKiroをダウングレードしました。 Kiroのプラン変更はWebのダッシュボードから Kiroのプラン変更 […]
Fable 5 を動かしたので OTel のデータを Grafanaで可視化してみた話
Claude Fable 5 が出てきたので、Claude Code の OpenTelemetry(OTel)を Grafana Cloud に流して眺めていた自分のダッシュボードを開いてみました。4 モデルが並ぶ景色 […]
