## 情報源
- URL: https://youtube.com/watch?v=6GqQaaGb57w
- チャンネル: スラ（sura_asura）
- 投稿日: 2026-05
- スコア: 87/100

## 主要な発見

### security-guidance プラグインの3段階チェック構造

| 段階 | タイミング | 仕組み |
|------|-----------|-------|
| 第1段階 | ファイル編集のたびに実行 | パターンマッチ（正規表現ベース） |
| 第2段階 | スラッシュターン終了時 | LLMレビュー（Claude Opus 4.7使用） |
| 第3段階 | git commit時 | bashツールでcommit前フルチェック |

### 導入方法
```bash
# settings.json で有効化
# .cloud/settings.json に以下を追加
{
"enablePlugins": true
}
# または
# Seガイダンス@Cloudプラグインズ → インストールのみで自動有効化
```

公式ドキュメント: https://code.claude.com/docs/en/security-guidance

### カスタムルール設定
- `~/.cloud/security/patterns` で独自パターン追加可能
- `enablePatterns=0` で第1段階のみOFF
- チームリポジトリに `.cloud/sur/patterns` を置くとクローした全員に自動適用
- カスタムルールは最大N件まで（JSON/MDどちらでも可）
- `enableCommitReview=0` で第3段階のみOFF

### スコープ（配置場所3種類）
1. **ユーザーレベル** (`~/.cloud/settings.json`) → 自分のマシン全体に適用
2. **リポジトリレベル** (`.cloud/settings.json`) → そのリポジトリに適用・チームメイト全員に影響
3. **管理者レベル** → 上書き設定が書かれたとき連結される

### 重要な注意点
- 第2・3段階は通常のClaude Codeトークン消費 → 追加コスト0だが利用制限に影響
- バックグラウンドで走るため開発フローを止めない
- ブロックしない（警告のみ）: ライトやコミットを止めない設計
- HTMLのクロスサイトスクリプティングなどのパターンも検出可能
- `inhtml=ent.` のような複雑なXSSも文脈追跡で検出

### 活用パターン
```
# プロジェクト専用レビュアー設定例
# .cloud/security/custom-rules.json
{
"rules": [
{"pattern": "your_prefix", "message": "プロジェクト固有の命名規約違反"}
]
}
```

## アクションアイテム
- vvv リポジトリに security-guidance プラグインを導入し `.cloud/settings.json` に設定
- カスタムルール: SQLインジェクション（f-string + %s）パターンを追加（過去のinstinctから）
- 第3段階のcommit前チェックをvvv-botsにも適用