メインコンテンツへスキップ
依存関係の脆弱性対応を、自動化で解決します。このスケジュールされたオートメーションは、毎週セキュリティスキャナー (npm auditpip-auditcargo audit、または trivy) を実行し、検出結果を既知の CVE と照合して、脆弱性ごとにチケットを作成します。さらに、安全なアップグレードが可能な場合は、パッチ PR も自動で作成します。

このテンプレートを利用する

Devin で セキュリティ脆弱性スキャン を開き、デフォルト設定でオートメーションを作成します。保存前にカスタマイズできます。

この自動化でできること

セキュリティ脆弱性スキャン の自動化により、エンジニアを専任で割り当てなくても、継続的なセキュリティ態勢のベースラインを維持できます。Devin はスキャンを実行し、パッケージ間で検出結果の重複を排除し、CVSS スコアに基づいて優先順位を付けたうえで、「安全なバージョンへのアップグレード」 (自動修正) と「明確な対処法がない」 (人による確認用のチケット) を区別します。

仕組み

トリガー: スケジュールイベントrecurring
  • イベント: schedule:recurring
    • 条件:
      • rruleFREQ=WEEKLY;BYDAY=TU;BYHOUR=9;BYMINUTE=0 に一致する
Devin が行うこと: イベントの前提情報をすべて引き継いでセッションを開始し、以下のプロンプトを実行し、失敗した場合は必要に応じて通知します。

前提条件

プロンプト例

このテンプレートにはこのプロンプトが含まれています。Use template をクリックしたあとで編集することも、そのまま使うこともできます。

設定手順

  1. Devin で Automations → Templates を開きます。
  2. セキュリティ脆弱性スキャン をクリックします。このテンプレートが事前入力された作成ページが開きます。
  3. 必要な統合を接続し、まだであれば MCP サーバーをインストールします。
  4. トリガー条件内のプレースホルダー値を置き換えます (たとえば、your-org/your-repo を実際のリポジトリに置き換えます) 。
  5. プロンプトを確認し、チームの表現、慣習、ガードレールに合わせて調整します。
  6. Create automation をクリックします。
ほとんどの自動化テンプレートには、初期展開時のコストを抑えるための推奨 ACU 上限と呼び出し回数の上限が含まれています。自動化の動作に十分な確信が持てるまではそのままにし、その後、ワークロードに合わせて引き上げてください。

このテンプレートの利用に適したケース

  • 文書化された脆弱性管理が求められるコンプライアンス要件 (SOC 2、ISO 27001) への対応
  • 多数のリポジトリにまたがって依存関係の影響範囲が広い Enterprise
  • Dependabot を一度導入したものの、今では 400 件の未対応の PR を放置しているチーム
  • セキュリティ要件の厳しい製品における予防的なセキュリティ衛生の徹底

カスタマイズ案

  • 使用するスキャナーを選択 — npm auditpip-audittrivygrype、または社内の SCA
  • 重大度の高い検出結果は、優先度の高い別キューに振り分ける
  • コンプライアンス/GRC プラットフォームと連携する
  • GitHub Security Advisories をより広くカバーするには、Dependency Vulnerability Scanner と組み合わせる

関連項目