Zum Hauptinhalt springen

Automatisierte Sicherheitsüberprüfungen in Claude Code

Diese Woche aktualisiert

Claude Code enthält nun automatisierte Sicherheitsüberprüfungsfunktionen, um Ihnen dabei zu helfen, Sicherheitslücken in Ihrem Code zu identifizieren und zu beheben. Diese Anleitung erklärt, wie Sie den Befehl /security-review und GitHub Actions verwenden, um Ihre Codesicherheit zu verbessern.

Hinweis: Während automatisierte Sicherheitsüberprüfungen dabei helfen, viele häufige Sicherheitslücken zu identifizieren, sollten sie Ihre bestehenden Sicherheitspraktiken und manuellen Code-Reviews ergänzen, nicht ersetzen.

Übersicht

Automatisierte Sicherheitsüberprüfungen in Claude Code helfen Entwicklern, Sicherheitslücken zu erkennen, bevor sie in die Produktion gelangen. Diese Funktionen prüfen auf häufige Sicherheitsprobleme, einschließlich SQL-Injection-Risiken, Cross-Site-Scripting (XSS)-Sicherheitslücken, Authentifizierungsfehler, unsichere Datenbehandlung und Abhängigkeitssicherheitslücken.

Sie können Sicherheitsüberprüfungen auf zwei Arten verwenden: über den Befehl /security-review für bedarfsgesteuerte Überprüfungen in Ihrem Terminal oder über GitHub Actions für automatische Überprüfung von Pull Requests.

Verfügbarkeit

Diese Funktionen sind für alle Claude Code-Benutzer verfügbar, einschließlich:

  • Benutzer mit individuellen kostenpflichtigen Plänen (Pro oder Max).

  • Einzelne Benutzer oder Unternehmen mit Pay-as-you-go-API-Console-Konten.

Verwendung des Befehls /security-review

Der Befehl /security-review ermöglicht es Ihnen, die Sicherheitsanalyse direkt von Ihrem Terminal aus durchzuführen, bevor Sie Code committen.

Durchführung einer Sicherheitsüberprüfung

So überprüfen Sie Ihren Code auf Sicherheitslücken:

  1. Öffnen Sie Claude Code in Ihrem Projektverzeichnis.

  2. Führen Sie /security-review im Terminal aus.

  3. Claude analysiert Ihre Codebasis und identifiziert potenzielle Sicherheitsbedenken.

  4. Überprüfen Sie die detaillierten Erklärungen für jedes gefundene Problem.

Implementierung von Fixes

Nachdem Claude Sicherheitslücken identifiziert hat, können Sie es bitten, Fixes direkt zu implementieren. Dies hält Sicherheitsüberprüfungen in Ihren Entwicklungsworkflow integriert und ermöglicht es Ihnen, Probleme zu beheben, wenn sie am leichtesten zu lösen sind.

Anpassung des Befehls

Sie können den Befehl /security-review für Ihre spezifischen Anforderungen anpassen. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsüberprüfung.

Einrichtung von GitHub Actions für automatisierte PR-Überprüfungen

Nach der Installation und Konfiguration der GitHub Action werden alle Pull Requests automatisch auf Sicherheitslücken überprüft, wenn sie geöffnet werden.

Installation

So richten Sie automatisierte Sicherheitsüberprüfungen für Ihr Repository ein:

  1. Navigieren Sie zu den GitHub Actions-Einstellungen Ihres Repositorys

  2. Folgen Sie der Schritt-für-Schritt-Installationsanleitung in unserer Dokumentation

  3. Konfigurieren Sie die Action gemäß den Sicherheitsanforderungen Ihres Teams

Funktionsweise

Nach der Konfiguration führt die GitHub Action folgende Aufgaben durch:

  • Wird automatisch ausgelöst, wenn neue Pull Requests geöffnet werden.

  • Überprüft Codeänderungen auf Sicherheitslücken.

  • Wendet anpassbare Filterregeln an, um falsch positive Ergebnisse zu reduzieren.

  • Postet Inline-Kommentare zum PR mit identifizierten Bedenken und empfohlenen Fixes.

Dies schafft einen konsistenten Sicherheitsüberprüfungsprozess in Ihrem gesamten Team und stellt sicher, dass Code vor dem Merging auf Sicherheitslücken überprüft wird.

Anpassungsoptionen

Sie können die GitHub Action anpassen, um Ihre Sicherheitsrichtlinien des Teams zu erfüllen, einschließlich der Festlegung spezifischer Regeln für Ihre Codebasis und der Anpassung der Empfindlichkeitsstufen für verschiedene Sicherheitslückentypen.

Welche Sicherheitsprobleme können erkannt werden?

Sowohl der Befehl /security-review als auch die GitHub Action prüfen auf häufige Sicherheitslückenmuster:

  • SQL-Injection-Risiken: Identifiziert potenzielle Datenbankabfrage-Sicherheitslücken.

  • Cross-Site-Scripting (XSS): Erkennt Client-seitige Script-Injection-Sicherheitslücken.

  • Authentifizierungs- und Autorisierungsfehler: Findet Probleme mit der Zugriffskontrolle.

  • Unsichere Datenbehandlung: Identifiziert Probleme mit Datenvalidierung und Bereinigung.

  • Abhängigkeitssicherheitslücken: Prüft auf bekannte Probleme in Drittanbieterpaketen.

Erste Schritte

So beginnen Sie mit automatisierten Sicherheitsüberprüfungen:

  • Für den Befehl /security-review: Aktualisieren Sie Claude Code auf die neueste Version (ausführen), führen Sie dann /

Verwandte Artikel
Claude Code mit deinem Pro- oder Max-Plan verwenden
Claude Code mit deinem Team- oder Enterprise-Plan verwenden
Claude Code Model Konfiguration
Claude Code – Häufig gestellte Fragen
Claude Code im Web
Hat dies deine Frage beantwortet?