メインコンテンツへスキップ
OWASP Top 10 に先手を打ちましょう。この定期実行の自動化では、現在の OWASP Top 10 Web アプリケーションセキュリティリスクに基づいて、コードベースを重点的に監査します。対象には、欠落しているセキュリティヘッダー、CSRF 対策の不備、SQL インジェクションのリスク箇所、脆弱な認証パターンなどが含まれます。その後、チケットを起票し、セキュリティハードニングのための PR を作成します。

このテンプレートを利用する

Devin で OWASP セキュリティ強化 を開き、デフォルト設定で自動化を作成できます。保存する前にカスタマイズすることもできます。

この自動化でできること

OWASP Top 10 は Web アプリケーション セキュリティにおける業界標準ですが、多くのチームには、それに基づいて定期的に監査する時間がありません。この自動化がそれを代行します。毎週のスキャン、各 OWASP カテゴリに対応付けられた優先度付きの検出結果、そして Devin が安全に対処できる issue に対する実行可能な対処法 PR を提供します。

仕組み

トリガー: スケジュールイベントrecurring
  • イベント: schedule:recurring
    • 条件:
      • rruleFREQ=WEEKLY;BYDAY=MO;BYHOUR=9;BYMINUTE=0 と一致する
Devinが行うこと: イベントに関する前提情報をすべて含むセッションを開始し、以下のプロンプトを実行し、失敗した場合は必要に応じて通知します。

事前準備

プロンプトの例

このテンプレートには、次のプロンプトがあらかじめ含まれています。テンプレートを利用するをクリックしたあとで編集することも、そのまま使うこともできます。

設定方法

  1. Devin で Automations → Templates を開きます。
  2. OWASP セキュリティ強化 をクリックします。このテンプレートがあらかじめ入力された状態で作成ページが開きます。
  3. まだ済んでいない場合は、必要な統合 を接続し、MCP サーバーをインストールします。
  4. トリガー条件内のプレースホルダー値を置き換えます (たとえば、your-org/your-repo を実際のリポジトリに置き換えます) 。
  5. プロンプトを確認し、チームの言い回し、慣習、ガードレールに合わせて調整します。
  6. Create automation をクリックします。
ほとんどの自動化テンプレートには、初期ロールアウト時のコストを抑えるための推奨 ACU と呼び出し上限が含まれています。自動化の挙動に十分な確信が持てるまではそのままにし、その後、ワークロードに合わせて引き上げてください。

このテンプレートを利用する場面

  • SOC 2、ISO 27001、または HIPAA 監査に向けた事前準備
  • 顧客からのセキュリティレビューへの対応
  • 継続的なセキュリティ態勢の維持
  • 信頼できないトラフィックにさらされる前の予防的なハードニング

カスタマイズ案

  • 特定の OWASP カテゴリ (例: A01、A03、A07) に絞る
  • 対象を特定のリポジトリやサービス (公開向けか内部向けか) に絞る
  • ペネトレーションテストの指摘事項と照合する
  • エビデンス収集のため、コンプライアンスプラットフォームと統合する

関連項目