Zum Hauptinhalt springen

Automatisierte Sicherheitsüberprüfungen in Claude Code

Diese Woche aktualisiert

Claude Code enthält jetzt automatisierte Sicherheitsüberprüfungsfunktionen, die Ihnen helfen, Schwachstellen in Ihrem Code zu identifizieren und zu beheben. Diese Anleitung erklärt, wie Sie den /security-review-Befehl und GitHub Actions verwenden, um die Sicherheit Ihres Codes zu verbessern.

Hinweis: Während automatisierte Sicherheitsüberprüfungen dabei helfen, viele häufige Schwachstellen zu identifizieren, sollten sie Ihre bestehenden Sicherheitspraktiken und manuellen Code-Reviews ergänzen, nicht ersetzen.

Überblick

Automatisierte Sicherheitsüberprüfungen in Claude Code helfen Entwicklern dabei, Schwachstellen zu erkennen, bevor sie in die Produktion gelangen. Diese Funktionen prüfen auf häufige Sicherheitsprobleme einschließlich SQL-Injection-Risiken, Cross-Site-Scripting (XSS)-Schwachstellen, Authentifizierungsfehlern, unsicherer Datenverarbeitung und Abhängigkeitsschwachstellen.

Sie können Sicherheitsüberprüfungen auf zwei Arten verwenden: über den /security-review-Befehl für On-Demand-Prüfungen in Ihrem Terminal oder über GitHub Actions für automatische Überprüfung von Pull Requests.

Verfügbarkeit

Diese Funktionen sind für alle Claude Code-Benutzer verfügbar, einschließlich:

  • Benutzer mit individuellen kostenpflichtigen Plänen (Pro oder Max).

  • Einzelbenutzer oder Unternehmen mit Pay-as-you-go API Console-Konten.

Verwendung des /security-review-Befehls

Der /security-review-Befehl ermöglicht es Ihnen, Sicherheitsanalysen direkt von Ihrem Terminal aus durchzuführen, bevor Sie Code committen.

Durchführung einer Sicherheitsüberprüfung

Um Ihren Code auf Schwachstellen zu prüfen:

  1. Öffnen Sie Claude Code in Ihrem Projektverzeichnis.

  2. Führen Sie /security-review im Terminal aus.

  3. Claude wird Ihre Codebasis analysieren und potenzielle Sicherheitsbedenken identifizieren.

  4. Überprüfen Sie die detaillierten Erklärungen, die für jedes gefundene Problem bereitgestellt werden.

Implementierung von Korrekturen

Nachdem Claude Schwachstellen identifiziert hat, können Sie es bitten, Korrekturen direkt zu implementieren. Dies hält Sicherheitsüberprüfungen in Ihren Entwicklungsworkflow integriert und ermöglicht es Ihnen, Probleme zu beheben, wenn sie am einfachsten zu lösen sind.

Anpassung des Befehls

Sie können den /security-review-Befehl für Ihre spezifischen Bedürfnisse anpassen. Siehe die Dokumentation zur Sicherheitsüberprüfung für Konfigurationsoptionen.

Einrichtung von GitHub Actions für automatisierte PR-Überprüfungen

Nach der Installation und Konfiguration der GitHub Action wird sie automatisch jeden Pull Request auf Sicherheitsschwachstellen überprüfen, wenn er geöffnet wird.

Installation

Um automatisierte Sicherheitsüberprüfungen für Ihr Repository einzurichten:

  1. Navigieren Sie zu den GitHub Actions-Einstellungen Ihres Repositorys

  2. Folgen Sie der Schritt-für-Schritt-Installationsanleitung in unserer Dokumentation

  3. Konfigurieren Sie die Action entsprechend den Sicherheitsanforderungen Ihres Teams

Funktionsweise

Nach der Konfiguration führt die GitHub Action folgende Aktionen aus:

  • Wird automatisch ausgelöst, wenn neue Pull Requests geöffnet werden.

  • Überprüft Code-Änderungen auf Sicherheitsschwachstellen.

  • Wendet anpassbare Filterregeln an, um falsch-positive Ergebnisse zu reduzieren.

  • Postet Inline-Kommentare im PR mit identifizierten Bedenken und empfohlenen Korrekturen.

Dies schafft einen konsistenten Sicherheitsüberprüfungsprozess für Ihr gesamtes Team und stellt sicher, dass Code vor dem Merging auf Schwachstellen geprüft wird.

Anpassungsoptionen

Sie können die GitHub Action an die Sicherheitsrichtlinien Ihres Teams anpassen, einschließlich der Festlegung spezifischer Regeln für Ihre Codebasis und der Anpassung von Sensitivitätsstufen für verschiedene Schwachstellentypen.

Welche Sicherheitsprobleme können erkannt werden?

Sowohl der /security-review-Befehl als auch die GitHub Action prüfen auf häufige Schwachstellenmuster:

  • SQL-Injection-Risiken: Identifiziert potenzielle Datenbankabfrage-Schwachstellen.

  • Cross-Site-Scripting (XSS): Erkennt clientseitige Script-Injection-Schwachstellen.

  • Authentifizierungs- und Autorisierungsfehler: Findet Probleme mit der Zugriffskontrolle.

  • Unsichere Datenverarbeitung: Identifiziert Probleme mit Datenvalidierung und -bereinigung.

  • Abhängigkeitsschwachstellen: Prüft auf bekannte Probleme in Drittanbieter-Paketen.

Erste Schritte

Um mit automatisierten Sicherheitsüberprüfungen zu beginnen:

  • Für den /security-review-Befehl: Aktualisieren Sie Claude Code auf die neueste Version (ausführen), dann führen Sie /security-review

Verwandte Artikel
Claude Code mit Ihrem Pro- oder Max-Plan verwenden
Prototyp-KI-gestützte Apps mit Claude Artifacts
Claude Code Model Konfiguration
Einrichtung der Console Single Sign-On mit automatischer Bereitstellung der Claude Code-Rolle
Hat dies deine Frage beantwortet?