Cursor AgentでWordPressプラグインのコードスキャンフローをCircleCIで動かす
Article actions
サププライチェーン攻撃が原因と思われるセキュリティ事故のニュースが最近増えてきました。公開しているWordPressプラグインについても、セキュリティ対策をそろそろとるべきかと思い、簡単なスキャンフローをCursorにて導入してみました。
Cursorにてコードの静的検査(SAST)を実施するCIワークフローを作らせる
CircleCIを使っているプラグインなので、CursorにCIのYAMLファイルを作らせましょう。事前にCursorのMCP機能でCircleCI MCPサーバーを接続させておきます。使うかどうかはともかく、CIの実行結果などにアクセスしやすくする意図でセットアップしておきました。
指示内容はこんな感じです。QiitaでDevSecOpsに関する記事を自分で公開しているので、その記事のURLまたはMarkdownをコピーして貼り付けています。
Cursorが数分でCIを実行するYAMLファイルを作ってくれます。作成されたものはPull Requestで提出されます。
CodeRabbitでYAMLを検証する
作成されたYAMLファイルは、念のためAIレビューを経由させます。CodeRabbitがDockerイメージのバージョン指定をdigestで行う提案を出してきました。これはTrivyが改ざんされた時のように、tagの上書きで改ざんされるリスクを回避するためのものです。
修正もCursorにやらせましょう。[Prompt for AI Agents]にあるテキストをそのまま貼り付けます。
修正が終わりました。digestの取得もうまくいっています。
まとめ
DevSecOpsとよばれるジャンルですが、幸いにも基本的なタスクについてはCursor / Claude Codeなどがある程度知識を持っています。また、Qiitaなどに手法を公開しているケースもあるため、それらを参考に始めてみるのがよいでしょう。
Read More Dev Notes
Explore more technical learnings and practical development notes.
Hidetaka Okamoto
Developer Experience Engineer
Developer Experience Engineer. A developer specialized in serverless application development on AWS and Cloudflare. Former Stripe Developer Advocate / AWS Samurai 2017. Skilled in creating content and presentations that introduce service usage and best practices. You can follow me on Twitter at @hidetaka_dev
Related Articles
AI駆動開発でDevOps的な「小さなコミット・小さなリリース」に挑戦してみた(Devin編)
AI駆動開発でDevOpsの小さなコミット・リリースサイクルをDevinで実践。プロンプト設計から段階的な実装、CIチェック、マージまでの自律的な開発フローを検証し、効率的な開発プロセスを実現。
Devinのreview機能を触ってみた
Devinの新機能「Review」を試してみた体験レポート。PRの内容をAIと相談できる「PR特化版Ask Devin」として、GitHubのPRページ代わりにも使える便利な機能の紹介。
CircleCI MCPでCursor Rulesのルール違反をコミット前に検知する方法
CircleCI が提供する MCP サーバーには、git diff をベースにコーディング規約への準拠を確認する analyze_diff という機能があります。この機能を Cursor Rules と組み合わせること […]
GitHub / Cloudflare MCPを使って Workers アプリのリリース前チェックを実施する
この記事では、リリース前のチェック作業をMCPの力を借りて効率化する方法を紹介します。GitHubにコードをホストし、Cloudflare Workersへのデプロイを行なっているケースであれば、リリースノート作成などに […]