Zum Hauptinhalt springen

Automatisierte Sicherheitsüberprüfungen in Claude Code

Diese Woche aktualisiert

Claude Code enthält nun automatisierte Sicherheitsüberprüfungsfunktionen, um Ihnen dabei zu helfen, Sicherheitslücken in Ihrem Code zu identifizieren und zu beheben. Diese Anleitung erklärt, wie Sie den Befehl /security-review und GitHub Actions verwenden, um Ihre Codesicherheit zu verbessern.

Hinweis: Während automatisierte Sicherheitsüberprüfungen dabei helfen, viele häufige Sicherheitslücken zu identifizieren, sollten sie Ihre bestehenden Sicherheitspraktiken und manuellen Code-Reviews ergänzen, nicht ersetzen.

Übersicht

Automatisierte Sicherheitsüberprüfungen in Claude Code helfen Entwicklern, Sicherheitslücken zu erkennen, bevor sie in die Produktion gelangen. Diese Funktionen prüfen auf häufige Sicherheitsprobleme, einschließlich SQL-Injection-Risiken, Cross-Site-Scripting (XSS)-Sicherheitslücken, Authentifizierungsfehler, unsichere Datenbehandlung und Abhängigkeitssicherheitslücken.

Sie können Sicherheitsüberprüfungen auf zwei Arten verwenden: über den Befehl /security-review für On-Demand-Überprüfungen in Ihrem Terminal oder über GitHub Actions für automatische Überprüfung von Pull Requests.

Verfügbarkeit

Diese Funktionen sind für alle Claude Code-Benutzer verfügbar, einschließlich:

  • Benutzer mit individuellen bezahlten Plänen (Pro oder Max).

  • Einzelne Benutzer oder Unternehmen mit Pay-as-you-go API Console-Konten.

Verwendung des Befehls /security-review

Der Befehl /security-review ermöglicht es Ihnen, die Sicherheitsanalyse direkt von Ihrem Terminal aus auszuführen, bevor Sie Code committen.

Ausführung einer Sicherheitsüberprüfung

So überprüfen Sie Ihren Code auf Sicherheitslücken:

  1. Öffnen Sie Claude Code in Ihrem Projektverzeichnis.

  2. Führen Sie /security-review im Terminal aus.

  3. Claude analysiert Ihre Codebasis und identifiziert potenzielle Sicherheitsbedenken.

  4. Überprüfen Sie die detaillierten Erklärungen für jedes gefundene Problem.

Implementierung von Fixes

Nachdem Claude Sicherheitslücken identifiziert hat, können Sie es bitten, Fixes direkt zu implementieren. Dies hält Sicherheitsüberprüfungen in Ihren Entwicklungsworkflow integriert und ermöglicht es Ihnen, Probleme zu beheben, wenn sie am leichtesten zu lösen sind.

Anpassung des Befehls

Sie können den Befehl /security-review für Ihre spezifischen Anforderungen anpassen. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsüberprüfung für Konfigurationsoptionen.

Einrichtung von GitHub Actions für automatisierte PR-Überprüfungen

Nach der Installation und Konfiguration der GitHub Action überprüft diese automatisch jeden Pull Request auf Sicherheitslücken, wenn er geöffnet wird.

Installation

So richten Sie automatisierte Sicherheitsüberprüfungen für Ihr Repository ein:

  1. Navigieren Sie zu den GitHub Actions-Einstellungen Ihres Repositorys

  2. Folgen Sie der Schritt-für-Schritt-Installationsanleitung in unserer Dokumentation

  3. Konfigurieren Sie die Action gemäß den Sicherheitsanforderungen Ihres Teams

Funktionsweise

Nach der Konfiguration führt die GitHub Action folgende Aufgaben aus:

  • Wird automatisch ausgelöst, wenn neue Pull Requests geöffnet werden.

  • Überprüft Code-Änderungen auf Sicherheitslücken.

  • Wendet anpassbare Filterregeln an, um falsch positive Ergebnisse zu reduzieren.

  • Postet Inline-Kommentare im PR mit identifizierten Bedenken und empfohlenen Fixes.

Dies schafft einen konsistenten Sicherheitsüberprüfungsprozess in Ihrem gesamten Team und stellt sicher, dass Code vor dem Merging auf Sicherheitslücken überprüft wird.

Anpassungsoptionen

Sie können die GitHub Action anpassen, um Ihre Sicherheitsrichtlinien des Teams zu erfüllen, einschließlich der Festlegung spezifischer Regeln für Ihre Codebasis und der Anpassung der Empfindlichkeitsstufen für verschiedene Sicherheitslückentypen.

Welche Sicherheitsprobleme können erkannt werden?

Sowohl der Befehl /security-review als auch die GitHub Action prüfen auf häufige Sicherheitslückenmuster:

  • SQL-Injection-Risiken: Identifiziert potenzielle Datenbankabfrage-Sicherheitslücken.

  • Cross-Site-Scripting (XSS): Erkennt Client-seitige Script-Injection-Sicherheitslücken.

  • Authentifizierungs- und Autorisierungsfehler: Findet Probleme mit der Zugriffskontrolle.

  • Unsichere Datenbehandlung: Identifiziert Probleme mit Datenvalidierung und Bereinigung.

  • Abhängigkeitssicherheitslücken: Prüft auf bekannte Probleme in Drittanbieter-Paketen.

Erste Schritte

So beginnen Sie mit automatisierten Sicherheitsüberprüfungen:

  • Für den Befehl /security-review: Aktualisieren Sie Claude Code auf die neueste Version (ausführen), und führ

Verwandte Artikel
Claude Code mit deinem Pro- oder Max-Plan verwenden
Claude Code-Modell-Konfiguration
Claude Code – Häufig gestellte Fragen
Claude Code im Web
Claude for Chrome sicher verwenden
Hat dies deine Frage beantwortet?