Claude Code는 이제 코드의 취약점을 식별하고 수정하는 데 도움이 되는 자동화된 보안 검토 기능을 포함합니다. 이 가이드는 /security-review 명령어와 GitHub Actions를 사용하여 코드 보안을 개선하는 방법을 설명합니다.
참고: 자동화된 보안 검토는 많은 일반적인 취약점을 식별하는 데 도움이 되지만, 기존의 보안 관행과 수동 코드 검토를 대체하는 것이 아니라 보완하는 역할을 해야 합니다.
개요
Claude Code의 자동화된 보안 검토는 개발자가 취약점이 프로덕션에 도달하기 전에 이를 포착할 수 있도록 도와줍니다. 이러한 기능은 SQL 인젝션 위험, 크로스 사이트 스크립팅(XSS) 취약점, 인증 결함, 안전하지 않은 데이터 처리, 종속성 취약점을 포함한 일반적인 보안 문제를 확인합니다.
보안 검토는 두 가지 방법으로 사용할 수 있습니다: 터미널에서 온디맨드 검사를 위한 /security-review 명령어를 통해서나, 풀 리퀘스트의 자동 검토를 위한 GitHub Actions를 통해서입니다.
가용성
이러한 기능은 다음을 포함한 모든 Claude Code 사용자에게 제공됩니다:
개인 유료 플랜(Pro 또는 Max) 사용자.
종량제 API Console 계정을 가진 개인 사용자 또는 기업.
/security-review 명령어 사용하기
/security-review 명령어를 사용하면 코드를 커밋하기 전에 터미널에서 직접 보안 분석을 실행할 수 있습니다.
보안 검토 실행하기
코드의 취약점을 확인하려면:
프로젝트 디렉토리에서 Claude Code를 엽니다.
터미널에서 /security-review를 실행합니다.
Claude가 코드베이스를 분석하고 잠재적인 보안 문제를 식별합니다.
발견된 각 문제에 대해 제공되는 자세한 설명을 검토합니다.
수정 사항 구현하기
Claude가 취약점을 식별한 후, 직접 수정 사항을 구현하도록 요청할 수 있습니다. 이를 통해 보안 검토가 개발 워크플로우에 통합되어, 문제를 해결하기 가장 쉬운 시점에 이를 처리할 수 있습니다.
명령어 사용자 정의하기
특정 요구사항에 맞게 /security-review 명령어를 사용자 정의할 수 있습니다. 구성 옵션은 보안 검토 문서를 참조하세요.
자동화된 PR 검토를 위한 GitHub Actions 설정하기
GitHub action을 설치하고 구성한 후, 풀 리퀘스트가 열릴 때마다 자동으로 보안 취약점을 검토합니다.
설치
저장소에 자동화된 보안 검토를 설정하려면:
저장소의 GitHub Actions 설정으로 이동합니다
문서의 단계별 설치 가이드를 따릅니다
팀의 보안 요구사항에 따라 action을 구성합니다
작동 방식
구성이 완료되면 GitHub action은:
새로운 풀 리퀘스트가 열릴 때 자동으로 트리거됩니다.
코드 변경사항에서 보안 취약점을 검토합니다.
거짓 양성을 줄이기 위해 사용자 정의 가능한 필터링 규칙을 적용합니다.
식별된 문제와 권장 수정사항을 PR에 인라인 댓글로 게시합니다.
이를 통해 전체 팀에 걸쳐 일관된 보안 검토 프로세스가 생성되어, 병합 전에 코드가 취약점에 대해 확인되도록 보장합니다.
사용자 정의 옵션
코드베이스에 대한 특정 규칙 설정과 다양한 취약점 유형에 대한 민감도 수준 조정을 포함하여, 팀의 보안 정책에 맞게 GitHub action을 사용자 정의할 수 있습니다.
어떤 보안 문제를 감지할 수 있나요?
/security-review 명령어와 GitHub action 모두 일반적인 취약점 패턴을 확인합니다:
SQL 인젝션 위험: 잠재적인 데이터베이스 쿼리 취약점을 식별합니다.
크로스 사이트 스크립팅(XSS): 클라이언트 측 스크립트 인젝션 취약점을 감지합니다.
인증 및 권한 부여 결함: 접근 제어