Claude Code теперь включает функции автоматизированного анализа безопасности, которые помогают выявлять и исправлять уязвимости в вашем коде. Это руководство объясняет, как использовать команду /security-review и GitHub Actions для улучшения безопасности вашего кода.
Примечание: Хотя автоматизированные проверки безопасности помогают выявить множество распространенных уязвимостей, они должны дополнять, а не заменять ваши существующие практики безопасности и ручные проверки кода.
Обзор
Автоматизированные проверки безопасности в Claude Code помогают разработчикам выявлять уязвимости до того, как они попадут в продакшн. Эти функции проверяют распространенные проблемы безопасности, включая риски SQL-инъекций, уязвимости межсайтового скриптинга (XSS), недостатки аутентификации, небезопасную обработку данных и уязвимости зависимостей.
Вы можете использовать проверки безопасности двумя способами: через команду /security-review для проверок по требованию в вашем терминале или через GitHub Actions для автоматической проверки пулл-реквестов.
Доступность
Эти функции доступны для всех пользователей Claude Code, включая:
Пользователей с индивидуальными платными планами (Pro или Max).
Индивидуальных пользователей или предприятия с аккаунтами API Console с оплатой по факту использования.
Использование команды /security-review
Команда /security-review позволяет запускать анализ безопасности непосредственно из вашего терминала перед коммитом кода.
Запуск проверки безопасности
Чтобы проверить ваш код на уязвимости:
Откройте Claude Code в директории вашего проекта.
Запустите /security-review в терминале.
Claude проанализирует вашу кодовую базу и выявит потенциальные проблемы безопасности.
Изучите подробные объяснения, предоставленные для каждой найденной проблемы.
Внедрение исправлений
После того как Claude выявит уязвимости, вы можете попросить его внедрить исправления напрямую. Это позволяет интегрировать проверки безопасности в ваш рабочий процесс разработки, позволяя решать проблемы тогда, когда их проще всего устранить.
Настройка команды
Вы можете настроить команду /security-review под ваши конкретные потребности. См. документацию по проверке безопасности для вариантов конфигурации.
Настройка GitHub Actions для автоматизированных проверок PR
После установки и настройки GitHub action он будет автоматически проверять каждый пулл-реквест на уязвимости безопасности при его открытии.
Установка
Чтобы настроить автоматизированные проверки безопасности для вашего репозитория:
Перейдите к настройкам GitHub Actions вашего репозитория
Следуйте пошаговому руководству по установке в нашей документации
Настройте action в соответствии с требованиями безопасности вашей команды
Как это работает
После настройки GitHub action:
Запускается автоматически при открытии новых пулл-реквестов.
Проверяет изменения кода на уязвимости безопасности.
Применяет настраиваемые правила фильтрации для уменьшения ложных срабатываний.
Размещает встроенные комментарии в PR с выявленными проблемами и рекомендуемыми исправлениями.
Это создает последовательный процесс проверки безопасности для всей вашей команды, обеспечивая проверку кода на уязвимости перед слиянием.
Варианты настройки
Вы можете настроить GitHub action в соответствии с политиками безопасности вашей команды, включая установку специфических правил для вашей кодовой базы и настройку уровней чувствительности для различных типов уязвимостей.
Какие проблемы безопасности могут быть обнаружены?
И команда /security-review, и GitHub action проверяют распространенные шаблоны уязвимостей:
Риски SQL-инъекций: Выявляет потенциальные уязвимости в запросах к базе данных.
Межсайтовый скриптинг (XSS): Обнаруживает уязвимости внедрения скриптов на стороне клиента.
Недостатки аутентификации и авторизации: Находит проблемы с контролем доступа.
Небезопасная обработка данных: Выявляет проблемы с валидацией и санитизацией данных.
Уязвимости зависимостей: Проверяет известные проблемы в сторонних пакетах.
Начало работы
Чтобы начать использовать автоматизированные проверки безопасности:
Для команды /security-review: Обновите Claude Code до последней версии