Ir para conteúdo principal

Revisões de Segurança Automatizadas no Código Claude

Atualizado esta semana

Claude Code agora inclui recursos de revisão de segurança automatizada para ajudá-lo a identificar e corrigir vulnerabilidades em seu código. Este guia explica como usar o comando /security-review e GitHub Actions para melhorar a segurança do seu código.

Nota: Embora as revisões de segurança automatizadas ajudem a identificar muitas vulnerabilidades comuns, elas devem complementar, não substituir, suas práticas de segurança existentes e revisões manuais de código.

Visão Geral

As revisões de segurança automatizadas no Claude Code ajudam os desenvolvedores a detectar vulnerabilidades antes que cheguem à produção. Esses recursos verificam problemas de segurança comuns, incluindo riscos de injeção SQL, vulnerabilidades de cross-site scripting (XSS), falhas de autenticação, manipulação insegura de dados e vulnerabilidades de dependências.

Você pode usar revisões de segurança de duas maneiras: através do comando /security-review para verificações sob demanda em seu terminal, ou através do GitHub Actions para revisão automática de pull requests.

Disponibilidade

Esses recursos estão disponíveis para todos os usuários do Claude Code, incluindo:

  • Usuários com planos pagos individuais (Pro ou Max).

  • Usuários individuais ou empresas com contas API Console pay-as-you-go.

Usando o comando /security-review

O comando /security-review permite executar análise de segurança diretamente do seu terminal antes de fazer commit do código.

Executando uma Revisão de Segurança

Para verificar seu código em busca de vulnerabilidades:

  1. Abra o Claude Code no diretório do seu projeto.

  2. Execute /security-review no terminal.

  3. Claude analisará sua base de código e identificará possíveis preocupações de segurança.

  4. Revise as explicações detalhadas fornecidas para cada problema encontrado.

Implementando Correções

Depois que Claude identifica vulnerabilidades, você pode pedir para ele implementar correções diretamente. Isso mantém as revisões de segurança integradas ao seu fluxo de trabalho de desenvolvimento, permitindo que você resolva problemas quando eles são mais fáceis de resolver.

Personalizando o Comando

Você pode personalizar o comando /security-review para suas necessidades específicas. Consulte a documentação de revisão de segurança para opções de configuração.

Configurando GitHub Actions para revisões automatizadas de PR

Após instalar e configurar a ação do GitHub, ela revisará automaticamente cada pull request em busca de vulnerabilidades de segurança quando for aberto.

Instalação

Para configurar revisões de segurança automatizadas para seu repositório:

  1. Navegue até as configurações do GitHub Actions do seu repositório

  2. Siga o guia de instalação passo a passo em nossa documentação

  3. Configure a ação de acordo com os requisitos de segurança da sua equipe

Como Funciona

Uma vez configurada, a ação do GitHub:

  • É acionada automaticamente quando novos pull requests são abertos.

  • Revisa mudanças de código em busca de vulnerabilidades de segurança.

  • Aplica regras de filtragem personalizáveis para reduzir falsos positivos.

  • Posta comentários inline no PR com preocupações identificadas e correções recomendadas.

Isso cria um processo consistente de revisão de segurança em toda a sua equipe, garantindo que o código seja verificado em busca de vulnerabilidades antes do merge.

Opções de Personalização

Você pode personalizar a ação do GitHub para corresponder às políticas de segurança da sua equipe, incluindo definir regras específicas para sua base de código e ajustar níveis de sensibilidade para diferentes tipos de vulnerabilidades.

Quais problemas de segurança podem ser detectados?

Tanto o comando /security-review quanto a ação do GitHub verificam padrões comuns de vulnerabilidades:

  • Riscos de injeção SQL: Identifica potenciais vulnerabilidades em consultas de banco de dados.

  • Cross-site scripting (XSS): Detecta vulnerabilidades de injeção de script do lado do cliente.

  • Falhas de autenticação e autorização: Encontra problemas com controle de acesso.

  • Manipulação insegura de dados: Identifica problemas com validação e sanitização de dados.

  • Vulnerabilidades de dependências: Verifica problemas conhecidos em pacotes de terceiros.

Começando

Para começar a usar revisões de segurança automatizadas:

  • Para o comando /security-review: Atualize o Claude Code para a versão mais recente (execute), então execute /security-review no diretório do seu projeto.

    • Claude Code se mantém automaticamente atualizado para garantir que você tenha os recursos e correções de segurança mais recentes, mas você também pode executar claude update para atualizar manualmente.

  • Para as ações do GitHub: Visite nossa documentação para instruções de instalação e configuração.

Melhores Práticas

Para resultados ótimos, recomendamos executar /security-review antes de fazer commit de mudanças significativas e configurar a ação do GitHub para todos os repositórios contendo código de produção. Considere ajustar as regras de filtragem com base nos requisitos específicos de segurança da sua equipe e características da base de código.

Artigos relacionados
O que é o plano Enterprise?
Usando Claude Code com seu plano Pro ou Max
Conecte suas ferramentas para desbloquear um companheiro de IA mais inteligente e capaz
Configuração do Modelo de Código Claude
Isto respondeu à sua pergunta?