Claude Code Security Review: uma ferramenta do GitHub para varredura automatizada de código em busca de vulnerabilidades de segurança

Claude O Code Security Review é um programa de Antrópica O GitHub Action é uma ferramenta desenvolvida para automatizar a varredura de código em busca de vulnerabilidades de segurança. Ela aproveita os poderosos recursos de análise semântica do modelo Claude AI para realizar revisões de segurança detalhadas das alterações de código em Pull Requests. A ferramenta analisa a semântica do código para detectar possíveis riscos de segurança, como injeção de SQL, elevação de privilégio, chaves codificadas, etc., e gera automaticamente um comentário detalhado na solicitação pull do GitHub com uma descrição do problema, uma classificação de gravidade e uma recomendação para corrigi-lo. Ele é compatível com todas as linguagens de programação, reduz os falsos positivos e é adequado para que os desenvolvedores encontrem e corrijam rapidamente os problemas de segurança durante o processo de desenvolvimento. A ferramenta é fácil de ser integrada aos fluxos de trabalho existentes, garantindo que o código seja mais seguro antes de ser enviado ao ambiente de produção.

Lista de funções

• Revisão de Segurança Automatizada: Examine automaticamente as alterações de código nas solicitações pull do GitHub para detectar possíveis vulnerabilidades de segurança.
• Análise semântica: aproveitando a IA da Claude para entender o contexto do código e ir além da correspondência de padrões tradicional para fornecer uma detecção de vulnerabilidade mais precisa.
• Comentários de pull request: gere automaticamente comentários detalhados sobre problemas de segurança em pull requests, incluindo descrição do problema, classificações de gravidade e recomendações de correção.
• Suporte a vários idiomas: para qualquer linguagem de programação, não é necessária nenhuma configuração específica de idioma.
• Filtragem de alarmes falsos: algoritmos avançados reduzem as detecções de baixo impacto ou de alarmes falsos para melhorar a eficiência da análise.
• Varredura personalizável: suporta regras de revisão de segurança definidas pelo usuário para se adaptar às necessidades específicas do projeto.
• Suporte à linha de comando: fornece /security-review que permite aos desenvolvedores acionar manualmente varreduras de segurança no terminal.

Usando a Ajuda

Processo de instalação

Para usar Código Claude Security Review, primeiro você precisa integrá-lo ao fluxo de trabalho do seu repositório do GitHub. Aqui estão as etapas detalhadas de instalação:

1. preliminar::
   • Certifique-se de que seu repositório do GitHub tenha o GitHub Actions ativado.
   • Obtenha a chave da API do Anthropic. Acesse o console do Anthropic para obter a chave.
   • no repositório do GitHub Configurações > Segredos e variáveis > Ações No Novo repositório secretoadicione um arquivo chamado ANTHROPIC_API_KEY preencha sua chave de API do Anthropic.
2. Configuração da ação do GitHub::
   • No diretório raiz do repositório, crie o arquivo .github/workflows/ Pasta.
   • Crie um arquivo YAML (por exemplo security-review.yml) e copie o seguinte código de amostra:

     name: Security Review
     on:
     pull_request:
     types: [opened, synchronize]
     jobs:
     security:
     runs-on: ubuntu-latest
     permissions:
     pull-requests: write
     contents: read
     steps:
     - uses: actions/checkout@v4
     with:
     ref: ${{ github.event.pull_request.head.sha }}
     fetch-depth: 2
     - uses: anthropics/claude-code-security-review@main
     with:
     comment-pr: true
     claude-api-key: ${{ secrets.ANTHROPIC_API_KEY }}
     

   • Salve o arquivo e envie-o para o repositório. Sempre que uma solicitação pull for acionada, a ferramenta será executada automaticamente e examinará o código.
3. Gatilho manual (opcional)::
   • Instale o Claude Code CLI (Command Line Instrument) localmente. Execute o seguinte comando:

     npm install -g @anthropic-ai/claude-code
     

   • Navegue até o diretório do projeto e execute:

     claude
     

   • No terminal do Claude Code, digite /security-reviewA varredura de segurança pode ser acionada manualmente.

Função Fluxo de operação

1. revisão automatizada de pull requests

Quando um desenvolvedor envia uma solicitação pull, o Claude Code Security Review entra em ação automaticamente e analisa os arquivos de código alterados. Ele irá:

• Examine o código em busca de possíveis vulnerabilidades, como injeção de SQL, ataques de script entre sites (XSS), chaves codificadas e muito mais.
• Gere um relatório detalhado na seção de comentários do pull request listando a linha de código, a descrição do problema, a classificação de gravidade e a recomendação de correção para cada problema. Exemplo:

  ## Claude Code Review
  **文件**: src/auth.js
  **行号**: 42
  **问题**: 检测到硬编码密钥，可能导致敏感信息泄露。
  **严重性**: 高
  **建议**: 将密钥移至环境变量，使用安全的密钥管理工具。
  *Generated by Claude Code*
  

• Os desenvolvedores podem modificar o código diretamente com base nos comentários, corrigir o problema e reenviá-lo, e a ferramenta o examinará novamente.

2. operação manual /security-review

Durante o processo de desenvolvimento, os desenvolvedores podem usar localmente o /security-review para executar uma verificação de segurança:

• Certifique-se de que o diretório do projeto seja um repositório Git (execute git init (Inicialização).
• Inicie a CLI do Claude Code e digite /security-review.
• A ferramenta analisa a área de preparação atual do Git (git diff --staged) de alterações de código para gerar relatórios de segurança.
• Se o diretório não for um repositório Git, o comando resultará em um erro com a mensagem "fatal: not a git repository". Recomenda-se executar git init.

3. regras de segurança personalizadas

Os desenvolvedores podem personalizar as regras de habilitação de segurança para atender a necessidades específicas:

• No diretório raiz do projeto, crie o arquivo .claude/commands/ Pasta.
• Copie o repositório oficial do security-review.md para essa pasta.
• compilador security-review.mdAdicione regras específicas, como ignorar determinados tipos de falsos positivos ou adicionar verificações específicas da organização.
• Exemplo de regra personalizada:

  Review this code for security vulnerabilities, ignoring minor linting issues.
  Focus on: SQL injection, XSS, and hardcoded credentials.
  

• Salvar e executar novamente /security-reviewA ferramenta será implementada de acordo com as novas regras.

4. filtragem e otimização de alarmes falsos

A ferramenta tem um mecanismo avançado e integrado de filtragem de alarmes falsos para reduzir avisos desnecessários. Os desenvolvedores podem otimizar ainda mais:

• existir security-review.md para adicionar regras de filtragem, como ignorar arquivos ou padrões específicos.
• fazer uso de allowed_tools Os parâmetros limitam os comandos que a ferramenta executa, por exemplo:

  allowed_tools: "Bash(git diff:*),View,GlobTool,GrepTool"
  

advertência

• Certifique-se de que as chaves de API sejam armazenadas de forma segura para evitar vazamentos.
• Atualize regularmente o Claude Code CLI e o GitHub Action para a versão mais recente para obter as regras e correções de segurança mais recentes.
• Se você encontrar /security-review Em caso de falha, verifique se o diretório do projeto é um repositório Git e se o Claude Code está instalado corretamente.

cenário do aplicativo

1. Verificações de segurança no desenvolvimento rápido
   Os desenvolvedores que estão iterando rapidamente o código usam o Claude Code Security Review para verificar automaticamente as solicitações de pull para garantir que o novo código não introduza vulnerabilidades de segurança, economizando tempo em revisões manuais.
2. Revisão de código no trabalho em equipe
   As equipes de desenvolvimento integram ferramentas em seus fluxos de trabalho do GitHub para gerar automaticamente relatórios de segurança para cada solicitação pull, ajudando os membros da equipe a se concentrarem em problemas de arquitetura em vez de vulnerabilidades de baixo nível.
3. Manutenção de código legado
   Ao realizar a manutenção em uma base de código antiga, use o /security-review examina o código e encontra problemas de segurança ocultos, como algoritmos de criptografia desatualizados ou controles de privilégio inseguros.
4. Requisitos de conformidade
   As organizações que precisam atender a padrões de conformidade rigorosos (por exemplo, SOC 2, ISO 27001) usam a ferramenta para garantir que o código atenda às especificações de segurança, gerando um registro rastreável das revisões de segurança.

QA

1. Quais tipos de vulnerabilidades de segurança são compatíveis com o Claude Code Security Review?
   A ferramenta detecta uma ampla gama de vulnerabilidades, incluindo injeção de SQL, injeção de comando, ataques de script entre sites (XSS), elevação de privilégio, chaves codificadas, vazamento de dados confidenciais, algoritmos de criptografia fracos e muito mais. Ele fornece resultados de detecção mais precisos por meio de análise semântica.
2. Como os alarmes falsos podem ser reduzidos?
   A ferramenta tem um mecanismo integrado de filtragem de falsos positivos. Os usuários podem editar o .claude/commands/security-review.md adicionando regras específicas ou ignorando determinados problemas de baixa prioridade para otimizar ainda mais os resultados.
3. Ele exige suporte a uma linguagem de programação específica?
   Não é necessário. A ferramenta é independente de linguagem, funciona com qualquer linguagem de programação e analisa diretamente a semântica das alterações de código.
4. Como usá-lo em repositórios que não sejam do Git /security-review?
   A versão atual exige que o diretório do projeto seja um repositório Git. Se não for um repositório Git, você precisará executar git init Inicialização.
5. Como faço para proteger minhas chaves de API?
   Armazene a chave na variável de criptografia de GitHub Actions (ANTHROPIC_API_KEY), evite a codificação em código ou arquivos de configuração.