Apiiro CLIは、ApiiroプラットフォームをターミナルとAIコーディングアシスタントにもたらし、6つのネイティブセキュリティ機能を提供します。スキャン、リスク管理、修復、AIセキュリティアナリスト(Apiiro Guardian Agent経由)、AI脅威モデリング、およびプロンプト拡張です。macOS、Linux、Windowsにbrew、直接ダウンロード、またはRPM経由で数秒でインストールできます。
Apiiro CLIはエージェントスキルを備えており、Claude CodeやCursorなどのAIコーディングアシスタントが読み込んで自律的に呼び出せる構造化された機能定義です。これらは1つの簡単なコマンドnpx skills add apiiro/cli-releasesでインストールされ、インストール後、AIアシスタントはApiiroが何ができるかを明確に理解し、適切なソフトウェアグラフコンテキストで適切な機能を呼び出すことができます。
暗記するコマンドなし。コンテキスト切り替えなし。ダッシュボードなし。AIアシスタントに必要なことを伝えるだけです:
- 「プッシュ前にこのリポジトリをスキャンしてシークレットを確認して」
- 「このリポジトリにはどのようなセキュリティリスクがありますか?」
- 「これから構築する機能を脅威モデリングして」
- 「このサービスの重大なリスクを修正して」
– セキュリティが会話の一部になります。
従来のセキュリティワークフロー(検出→報告→チケット→修正)には数日から数週間かかります。脆弱性が数分で悪用されるとき、このサイクル長は受け入れられません。
しかし、セキュリティがAIコーディングアシスタントに組み込まれると、ループは次のようになります:強化→防止→検証。セキュリティの発見は開発者のワークフロー内で浮かび上がり、修復時間は短縮され、脆弱なパターンは最初から生成されません。この防止はすべてのコミット、すべてのリポジトリで発生し、人員を追加せずに実現されます。
6つのスキル。ゼロの割り込み。
以下は、Apiiro CLIに付属する6つのセキュリティスキルです:
1. スキャン:シークレットと脆弱な依存関係をキャッチ
トリガー:ユーザーがコードのスキャン、シークレット検出、またはOSS脆弱性について言及するとき。
流出したシークレットとオープンソースの脆弱性を数秒で結果を得ながら高速ローカルスキャンします。AIアシスタントがコードを生成した後、変更されたファイルをスキャンして、すべての発見を報告し、単一の行がコミットに到達する前に修正を適用できます。CI/CDパイプラインの場合、diff-scanはgit参照を比較し、重大な発見でブロックして、コードが人間またはエージェントによって書かれたかどうかに関わらず、監査可能なセキュリティゲートを作成します。
結果:シークレットと既知のCVEは生成の瞬間にキャッチされ、数週間後のチケットキューではありません。
2. リスク:コンテキスト内のセキュリティリスク在庫
トリガー:ユーザーがセキュリティリスク、脆弱性、または発見について尋ねるとき。
AIアシスタントはApiiroの完全なリスク在庫を照会し、重大度、カテゴリ、または発見タイプでフィルタリングして、コードベースのコンテキスト内で各発見を説明します。ダッシュボードなし。スプレッドシートなし。コンテキスト切り替えなし。リスクデータは開発者がすでに使用しているツール経由で到達し、脆弱性調査をコーディング会話の一部に変換することで、修復までの平均時間(MTTR)を削減します。
結果:開発者はセキュリティの発見にワークフロー内で取り組み、決して開かないバックログではありません。
3. 修正:発見から修復まで1つのフローで
トリガー:ユーザーがセキュリティリスクを修正、修復、または解決したいとき。
Apiiroのリスク知能があなたのAIアシスタントのコーディング能力に接続します。リスク詳細を取得し、発見タイプに合わせた修復指示を引き出し、コードベースに直接修正を適用します。シークレットの場合、露出を削除します。脆弱な依存関係の場合、パッチが適用されたバージョンにアップグレードします。コードレベルの発見の場合、脆弱なパターンを書き直します。自動修復が利用できない場合、Apiiro Guardian Agentにフォールバックしてガイド付きアドバイスを取得し、いずれにしても修正を適用します。
結果:修復は数日から数分に短縮され、開発者がIDEを離れる必要はありません。
4. Guardian Agent:SDLCを通じて24/7で動作する継続的なAI AppSecエンジニア
トリガー:ユーザーがAI駆動のセキュリティ分析を望むか、コードベースセキュリティについて質問するとき。
GuardianはApiiroのAIセキュリティエージェントです。コードベース、依存関係、リスク履歴を把握しています。その回答はリポジトリに固有で、一般的なアドバイスではありません。何でも尋ねてください:「認証実装は安全ですか?」「このサービスの攻撃対象領域は何ですか?」「ファイルアップロードを安全に処理するにはどうすればよいですか?」
セキュリティリーダーの場合、Guardianの組織全体モードはすべてのリポジトリ全体で自然言語の姿勢質問に回答します:「今週の上位の重大リスクは何ですか?」
ダッシュボードなし。クエリ言語なし。週間レポートを待たない。
結果:すべての開発者はオンデマンドでAppSecエンジニアを持っています。すべてのセキュリティリーダーは即座に、組織全体の可視性を持っています。
5. AI脅威モデリング:単一の行が書かれる前のプロアクティブなセキュリティ
トリガー:ユーザーが脅威分析またはデザインまたはフィーチャー仕様のSTRIDEレビューを望むとき。
CLIに機能説明、仕様、または建築上の変更を与えると、コード生成が始まる前にSTRIDEベースの脅威分析を返します。これは最も早い可能なポイントでの防止です。
本当の力は脅威モデルをApiiro Secure Promptと組み合わせることです:機能を説明し、構造化された脅威分析を受け取り、その脅威をSecure Promptに供給して、各対抗策のセキュリティ強化された実装要件を生成します。
結果:脅威モデリングは四半期ごとの演習から機能ごとの習慣にシフトし、開発者に追加のオーバーヘッドがゼロになります。ワークフローは次のようになります:説明→脅威モデル→セキュアプロンプト→構築。
6. Secure-Prompt:最初の指示から安全なコードを書く
トリガー:ユーザーがコーディングタスクにセキュリティ要件を追加したいとき。
CLIに開発タスクを与えると、リポジトリのスタック、依存関係、既知のリスクプロファイルに固有のセキュリティ要件で充実した同じタスクを返します。ビジネスインテントは保持されていますが、AIエージェントが単一の行を書く前に、セキュリティガードレールが追加されます。
結果:脆弱なパターンは最初から生成されません。修正するコストはゼロに低下します。
実用的な結果
開発者とAppSecプラクティショナーの場合、Apiiro CLIは安全な開発をAIコーディングエージェントとの信頼できる会話に変えます。アシスタントがApiiroセキュリティ機能にアクセスできるようになると、開発シナリオは単純なセキュアプロンプトで数秒で保護できます:
AIはソフトウェアがどのように構築されるかを書き直しています。AIエージェント用に設計されていないセキュリティプラットフォームは、AIエージェントが相互作用できないため無関係になります。
Apiiro CLIは、AI-nativeであることはプラットフォーム内でAIを使用するよりも多くを意味することの証拠です。AIが使用できるプラットフォームを構築することを意味します。コードを書くAIエージェントもスキャン、リスク評価、脅威モデル、修正できるものです。本番環境に到達する前に。
セキュリティは開発者にとって簡単にアクセス可能で、リーダーに表示されるべきです。CLIはそれを現実にする方法です。
