Claude Code 現在包含自動化安全審查功能,幫助您識別和修復程式碼中的漏洞。本指南說明如何使用 /security-review 指令和 GitHub Actions 來改善您的程式碼安全性。
注意:雖然自動化安全審查有助於識別許多常見漏洞,但它們應該補充而非取代您現有的安全實務和手動程式碼審查。
概述
Claude Code 中的自動化安全審查幫助開發人員在漏洞進入生產環境之前捕獲它們。這些功能檢查常見的安全問題,包括 SQL 注入風險、跨站腳本攻擊 (XSS) 漏洞、身份驗證缺陷、不安全的資料處理和依賴項漏洞。
您可以透過兩種方式使用安全審查:透過 /security-review 指令在終端機中進行隨需檢查,或透過 GitHub Actions 自動審查拉取請求。
可用性
這些功能適用於所有 Claude Code 使用者,包括:
個人付費方案使用者(Pro 或 Max)。
擁有按使用量付費 API Console 帳戶的個人使用者或企業。
使用 /security-review 指令
/security-review 指令讓您在提交程式碼之前直接從終端機執行安全分析。
執行安全審查
要檢查您的程式碼是否有漏洞:
在您的專案目錄中開啟 Claude Code。
在終端機中執行 /security-review。
Claude 將分析您的程式碼庫並識別潛在的安全問題。
審查為每個發現的問題提供的詳細說明。
實施修復
在 Claude 識別漏洞後,您可以要求它直接實施修復。這讓安全審查整合到您的開發工作流程中,讓您在最容易解決問題的時候處理它們。
自訂指令
您可以根據特定需求自訂 /security-review 指令。請參閱安全審查文件了解配置選項。
設定 GitHub Actions 進行自動化 PR 審查
安裝和配置 GitHub action 後,它將在每個拉取請求開啟時自動審查安全漏洞。
安裝
要為您的儲存庫設定自動化安全審查:
導航到您儲存庫的 GitHub Actions 設定
按照我們文件中的逐步安裝指南
根據您團隊的安全要求配置 action
運作方式
配置完成後,GitHub action:
在開啟新拉取請求時自動觸發。
審查程式碼變更是否有安全漏洞。
應用可自訂的過濾規則以減少誤報。
在 PR 上發布內聯評論,包含識別的問題和建議的修復方案。
這為您的整個團隊創建了一致的安全審查流程,確保程式碼在合併前檢查漏洞。
自訂選項
您可以自訂 GitHub action 以符合您團隊的安全政策,包括為您的程式碼庫設定特定規則,以及調整不同漏洞類型的敏感度級別。
可以檢測哪些安全問題?
/security-review 指令和 GitHub action 都會檢查常見的漏洞模式:
SQL 注入風險:識別潛在的資料庫查詢漏洞。
跨站腳本攻擊 (XSS):檢測客戶端腳本注入漏洞。
身份驗證和授權缺陷:發現存取控制問題。
不安全的資料處理:識別資料驗證和清理問題。
依賴項漏洞:檢查第三方套件中的已知問題。
開始使用
要開始使用自動化安全審查:
對於 /security-review 指令:將 Claude Code 更新到最新版本(執行),然後在您的專案目錄中執行
/security-review。Claude Code 會自動保持最新狀態以確保您擁有最新功能和安全修復,但您也可以執行
claude update手動更新。
對於 GitHub actions:請造訪我們的文件了解安裝和配置說明。
最佳實務
為了獲得最佳結果,我們建議在提交重大變更之前執行 /security-review,並為所有包含生產程式碼的