Claude Code Security Review: ein GitHub-Tool zum automatischen Scannen von Code auf Sicherheitsschwachstellen

Claude Code Security Review ist ein Programm zur Anthropisch GitHub Action ist ein Tool, das entwickelt wurde, um das Scannen von Code auf Sicherheitsschwachstellen zu automatisieren. Es nutzt die leistungsstarken semantischen Analysefähigkeiten des Claude AI-Modells, um eingehende Sicherheitsüberprüfungen von Codeänderungen in Pull Requests durchzuführen. Das Tool analysiert die Semantik des Codes, um potenzielle Sicherheitsrisiken wie SQL-Injection, Erhöhung von Privilegien, hartkodierte Schlüssel usw. zu erkennen, und generiert automatisch einen detaillierten Kommentar in der GitHub-Pull-Anfrage mit einer Beschreibung des Problems, einer Schwerebewertung und einer Empfehlung zur Behebung des Problems. Es unterstützt alle Programmiersprachen, reduziert Fehlalarme und ist für Entwickler geeignet, um Sicherheitsprobleme während des Entwicklungsprozesses schnell zu finden und zu beheben. Das Tool lässt sich leicht in bestehende Arbeitsabläufe integrieren und sorgt dafür, dass der Code sicherer ist, bevor er in die Produktionsumgebung übertragen wird.

Funktionsliste

• Automatisierte Sicherheitsüberprüfung: Scannen Sie Codeänderungen in GitHub-Pull-Requests automatisch, um potenzielle Sicherheitslücken zu erkennen.
• Semantische Analyse: Nutzung von Claude AI, um den Kontext des Codes zu verstehen und über den herkömmlichen Musterabgleich hinauszugehen, um eine genauere Erkennung von Sicherheitslücken zu ermöglichen.
• Pull-Request-Kommentare: Generieren Sie automatisch detaillierte Kommentare zu Sicherheitsproblemen in Pull-Requests, einschließlich Problembeschreibung, Schweregrad und Empfehlungen zur Behebung.
• Mehrsprachige Unterstützung: Für jede Programmiersprache ist keine sprachspezifische Konfiguration erforderlich.
• Filterung von Fehlalarmen: Hochentwickelte Algorithmen reduzieren die Erkennungsergebnisse von Fehlalarmen und verbessern die Effizienz der Überprüfung.
• Anpassbares Scanning: Unterstützt benutzerdefinierte Sicherheitsüberprüfungsregeln zur Anpassung an spezifische Projektanforderungen.
• Kommandozeilenunterstützung: bietet /security-review Befehl, der es Entwicklern ermöglicht, Sicherheitsscans manuell im Terminal auszulösen.

Hilfe verwenden

Einbauverfahren

Zur Verwendung Claude Code Security Review zu installieren, müssen Sie es zunächst in den Workflow Ihres GitHub-Repositorys integrieren. Hier sind die detaillierten Installationsschritte:

1. vorläufig::
   • Stellen Sie sicher, dass in Ihrem GitHub-Repository GitHub-Aktionen aktiviert sind.
   • Holen Sie sich den Anthropic-API-Schlüssel. Greifen Sie auf die Anthropic-Konsole zu, um den Schlüssel zu erhalten.
   • im GitHub-Repository Einstellungen > Geheimnisse und Variablen > Aktionen In der Neues Repository-Geheimnisfügen Sie eine Datei namens ANTHROPIC_API_KEY Schlüssel, geben Sie Ihren Anthropic-API-Schlüssel ein.
2. GitHub-Aktion konfigurieren::
   • Erstellen Sie im Stammverzeichnis des Repositorys die Datei .github/workflows/ Mappe.
   • Erstellen Sie eine YAML-Datei (z.B. security-review.yml) und kopieren Sie den folgenden Beispielcode:

     name: Security Review
     on:
     pull_request:
     types: [opened, synchronize]
     jobs:
     security:
     runs-on: ubuntu-latest
     permissions:
     pull-requests: write
     contents: read
     steps:
     - uses: actions/checkout@v4
     with:
     ref: ${{ github.event.pull_request.head.sha }}
     fetch-depth: 2
     - uses: anthropics/claude-code-security-review@main
     with:
     comment-pr: true
     claude-api-key: ${{ secrets.ANTHROPIC_API_KEY }}
     

   • Speichern Sie die Datei und übermitteln Sie sie an das Repository. Jedes Mal, wenn eine Pull-Anforderung ausgelöst wird, wird das Tool automatisch ausgeführt und der Code gescannt.
3. Manueller Auslöser (optional)::
   • Installieren Sie das Claude Code CLI (Command Line Instrument) lokal. Führen Sie den folgenden Befehl aus:

     npm install -g @anthropic-ai/claude-code
     

   • Navigieren Sie zum Projektverzeichnis und führen Sie es aus:

     claude
     

   • Geben Sie in das Terminal Claude Code /security-reviewSie können einen Sicherheitsscan manuell auslösen.

Funktion Betriebsablauf

1. automatisierte Überprüfung von Pull-Anfragen

Wenn ein Entwickler einen Pull-Request einreicht, setzt Claude Code Security Review automatisch ein und analysiert die geänderten Codedateien. Das wird es:

• Scannen des Codes auf potenzielle Schwachstellen wie SQL-Injection, Cross-Site-Scripting-Angriffe (XSS), hart kodierte Schlüssel usw.
• Erstellen Sie einen detaillierten Bericht im Kommentarbereich der Pull-Anfrage, in dem die Codezeile, die Problembeschreibung, die Schweregradeinstufung und die Behebungsempfehlung für jedes Problem aufgeführt sind. Beispiel:

  ## Claude Code Review
  **文件**: src/auth.js
  **行号**: 42
  **问题**: 检测到硬编码密钥，可能导致敏感信息泄露。
  **严重性**: 高
  **建议**: 将密钥移至环境变量，使用安全的密钥管理工具。
  *Generated by Claude Code*
  

• Die Entwickler können den Code direkt auf der Grundlage der Kommentare ändern, das Problem beheben und ihn erneut einreichen, woraufhin das Tool ihn erneut überprüft.

2. manuelle Bedienung /security-review

Während des Entwicklungsprozesses können die Entwickler lokal die /security-review um eine Sicherheitsüberprüfung durchzuführen:

• Stellen Sie sicher, dass das Projektverzeichnis ein Git-Repository ist (führen Sie git init (Initialisierung).
• Starten Sie die Claude Code CLI und geben Sie /security-review.
• Das Tool analysiert den aktuellen Git-Staging-Bereich (git diff --staged) von Codeänderungen zur Erstellung von Sicherheitsberichten.
• Wenn das Verzeichnis kein Git-Repository ist, führt der Befehl zu einem Fehler mit der Meldung "fatal: not a git repository". Es wird empfohlen, den Befehl git init.

3. benutzerdefinierte Sicherheitsregeln

Die Entwickler können die Regeln für die Sicherheitsüberprüfung an die jeweiligen Anforderungen anpassen:

• Erstellen Sie im Stammverzeichnis des Projekts die Datei .claude/commands/ Mappe.
• Kopieren Sie das offizielle Repository für die security-review.md Datei in diesen Ordner.
• Compiler security-review.mdfügen Sie spezifische Regeln hinzu, wie z. B. das Ignorieren bestimmter Arten von Fehlalarmen oder das Hinzufügen organisationsspezifischer Prüfungen.
• Beispiel für eine benutzerdefinierte Regel:

  Review this code for security vulnerabilities, ignoring minor linting issues.
  Focus on: SQL injection, XSS, and hardcoded credentials.
  

• Speichern und erneut ausführen /security-reviewDas Instrument wird nach den neuen Vorschriften eingeführt.

4 Filterung und Optimierung von Fehlalarmen

Das Tool verfügt über einen eingebauten erweiterten Mechanismus zur Filterung von Fehlalarmen, um unnötige Warnungen zu reduzieren. Die Entwickler können es weiter optimieren:

• existieren security-review.md um Filterregeln hinzuzufügen, z. B. das Ignorieren bestimmter Dateien oder Muster.
• ausnutzen allowed_tools Parameter schränken die Befehle ein, die das Werkzeug ausführt, zum Beispiel:

  allowed_tools: "Bash(git diff:*),View,GlobTool,GrepTool"
  

caveat

• Stellen Sie sicher, dass die API-Schlüssel sicher aufbewahrt werden, um ein Auslaufen zu verhindern.
• Aktualisieren Sie Claude Code CLI und GitHub Action regelmäßig auf die neueste Version mit den neuesten Sicherheitsregeln und -korrekturen.
• Wenn Sie auf /security-review Wenn dies nicht der Fall ist, stellen Sie sicher, dass das Projektverzeichnis ein Git-Repository ist und dass Claude Code korrekt installiert ist.

Anwendungsszenario

1. Sicherheitskontrollen in der schnellen Entwicklung
   Entwickler, die Code schnell iterieren, verwenden Claude Code Security Review, um Pull Requests automatisch zu scannen, um sicherzustellen, dass neuer Code keine Sicherheitslücken enthält, und so Zeit für manuelle Überprüfungen zu sparen.
2. Code-Review in Teamarbeit
   Entwicklungsteams integrieren Tools in ihre GitHub-Workflows, um automatisch Sicherheitsberichte für jede Pull-Anfrage zu generieren. So können sich die Teammitglieder auf architektonische Probleme konzentrieren, anstatt sich mit Schwachstellen auf niedriger Ebene zu beschäftigen.
3. Pflege von altem Code
   Wenn Sie Wartungsarbeiten an einer alten Codebasis durchführen, verwenden Sie die /security-review scannt den Code und findet versteckte Sicherheitsprobleme wie veraltete Verschlüsselungsalgorithmen oder unsichere Berechtigungskontrollen.
4. Anforderungen an die Einhaltung
   Organisationen, die strenge Compliance-Standards (z. B. SOC 2, ISO 27001) erfüllen müssen, nutzen das Tool, um sicherzustellen, dass der Code den Sicherheitsspezifikationen entspricht, und erstellen eine nachvollziehbare Aufzeichnung der Sicherheitsüberprüfungen.

QA

1. Welche Arten von Sicherheitslücken werden von Claude Code Security Review unterstützt?
   Das Tool erkennt eine Vielzahl von Schwachstellen, darunter SQL-Injektion, Befehlsinjektion, Cross-Site-Scripting-Angriffe (XSS), Erhöhung von Privilegien, hart kodierte Schlüssel, sensible Datenverluste, schwache Verschlüsselungsalgorithmen und vieles mehr. Durch semantische Analyse liefert es genauere Erkennungsergebnisse.
2. Wie können Fehlalarme reduziert werden?
   Das Tool verfügt über einen eingebauten Mechanismus zur Filterung von Fehlalarmen. Die Benutzer können die .claude/commands/security-review.md Datei, das Hinzufügen spezifischer Regeln oder das Ignorieren bestimmter Probleme mit niedriger Priorität, um die Ergebnisse weiter zu optimieren.
3. Erfordert sie die Unterstützung einer bestimmten Programmiersprache?
   Nicht erforderlich. Das Tool ist sprachunabhängig, funktioniert mit jeder Programmiersprache und analysiert direkt die Semantik von Codeänderungen.
4. Wie man es in Nicht-Git-Repositories verwendet /security-review?
   In der aktuellen Version muss das Projektverzeichnis ein Git-Repository sein. Wenn es sich nicht um ein Git-Repository handelt, müssen Sie Folgendes ausführen git init Initialisierung.
5. Wie kann ich meine API-Schlüssel sichern?
   Speichern Sie den Schlüssel in der Verschlüsselungsvariablen von GitHub Actions (ANTHROPIC_API_KEY), vermeiden Sie harte Kodierung in Code oder Konfigurationsdateien.