Batta – AIコーディングエージェント向け計画段階セキュリティレビュー（OSS）

Battaは、AIコーディングエージェント向けに設計されたオープンソースツールで、コード作成前にセキュリティレビューを実施します。その核心は「設計によるセキュリティ」で、コードが書かれる前に適切なセキュリティコンテキストを提供し、すべてのエージェントの意思決定を情報に基づいたものにします。

従来のセキュリティレビューとは異なり、Battaはプルリクエスト後やデプロイ後ではなく、新しい機能やコード変更の開始前に実行されます。コードベース、クラウド設定、組織ポリシー全体をインデックス化し、サービス、エントリポイント、ID、クラウドリソース、データフロー、信頼境界、データ分類、脅威、既知のギャップなど、構造化されたセキュリティモデルを構築します。エージェントが変更を提案すると、Battaはその変更をモデルと比較し、不足しているコンテキスト、リスク、必要なセキュリティタスク、証拠に基づく証明を返し、人間のレビューに回します。

BattaのワークフローはMCP（Model Context Protocol）を中心に展開されます。コーディングエージェントはMCPを介してリポジトリをBatta APIにインデックス化し、Battaは構造化されたアーキテクチャコンテキストを保存します。機能開発の前に、エージェントがセキュリティレビューを開始し、Battaは変更をインデックス化されたアーキテクチャと比較し、不足しているコンテキスト、リスク、タスクを返します。エージェントは変更を実装し、証拠を提出します。このプロセス全体がローカルファーストのOSS環境で実行可能で、LLMキーなしでMCPインデックス化とレビューループが可能です。

クイックスタート：docker compose upを実行し、http://localhost:3100/onboardingを開き、Battaサーバーのアドレスを含むプロンプトをコーディングエージェントに貼り付けます。エージェントは自動的にセットアップ手順を取得し、MCPを設定、接続を確認、リポジトリをインデックス化し、将来の機能作業の前にBattaレビューを実行する恒久的な指示を追加します。

Battaのアーキテクチャは、React+ViteのフロントエンドUI、Express REST APIとMCPエンドポイント、Postgres+pgvectorの永続化、Redisキャッシュで構成されています。Ollamaローカルモデル（qwen2.5-coder:14bなど）をサポートし、チャット、インデックス化エージェント、セマンティック埋め込みに利用できます。

組織にとって、Battaは単なるセキュリティツールではなく、セキュリティ上の意思決定の記録システムです。すべての判断、発見、証明を記録し、重要な事項は人間が常に管理し、完全な監査証跡を提供します。ライセンスはApache-2.0です。