Übersicht
Claude Security ist eine in Claude.ai integrierte Funktion, die Codebases auf Sicherheitslücken scannt und gezielte Patches zur Überprüfung durch Menschen vorschlägt. Sie hilft Teams, Probleme zu finden und zu beheben, die traditionelle Methoden oft übersehen. Erfahren Sie mehr über Claude Security.
Claude Security ist jetzt in der öffentlichen Beta für Benutzer mit Enterprise-Plänen verfügbar.
Claude Security ermöglicht es Ihnen:
Ihren Code parallel scannen — Claude Security versteht den Kontext, verfolgt Datenflüsse über Dateien hinweg und identifiziert komplexe, mehrteilige Anfälligkeitsmuster, die traditionelle Scanner möglicherweise nicht erkennen.
Ergebnisse validieren — Jedes Ergebnis durchläuft eine mehrstufige Überprüfung, bei der Claude seine eigenen Ergebnisse in Frage stellt, bevor sie angezeigt werden. Das Ergebnis: mehr echte Probleme werden gemeldet und weniger falsch positive Ergebnisse.
Überprüfen und patchen — Wechseln Sie nahtlos von einem Ergebnis zu einer Claude Code-Sitzung, um den vorgeschlagenen Fix zu überprüfen. Beheben Sie Anfälligkeiten schnell, anstatt einen Rückstand aufzubauen.
Erfahren Sie hier, wie Sie anfangen und wie führende Unternehmen das Tool nutzen: Erste Schritte mit Claude Security.
Arten von Ergebnissen
Ergebnisse fallen in die folgenden Beispielkategorien.
Injection (SQL, Command, Code, XSS): Nicht vertrauenswürdige Eingaben ändern die Abfragestruktur oder werden ausgeführt. Z. B. ' OR 1=1--, ; rm -rf /, <script> in einem Kommentar.
Injection (XXE, ReDoS): Parser oder Regex werden durch manipulierte Eingaben missbraucht. Z. B. XML <!ENTITY> liest /etc/passwd.
Pfad & Netzwerk (Pfadtraversal, SSRF, Open Redirect): Eingaben steuern Dateipfade, Anfrageziele oder Umleitungen. Z. B. ../../etc/passwd, Abrufen von http://169.254.169.254/.
Auth & Zugriff (AuthN-Umgehung, PrivEsc, IDOR/BOLA, CSRF, Race): Zugriffsprüfungen fehlen, sind übersprungbar oder anfällig für Race Conditions. Z. B. GET /orders/123 gibt die Bestellung einer anderen Person zurück.
Speichersicherheit (Buffer/Integer-Overflow, UAF, unsicherer Missbrauch): Eingaben schreiben über Grenzen hinaus, wickeln Arithmetik um oder treffen freigegebenen Speicher. Hauptsächlich C/C++/Rust unsicher.
Kryptographie (Timing-Lecks, Algorithmus-Verwechslung, schwache Primitive): Geheimnis-abhängige Branches, JWT alg=none oder MD5/SHA-1/DES/ECB in Sicherheitspfaden.
Deserialisierung (Beliebige Typinstanziierung): Nicht vertrauenswürdige Bytes steuern die Objektkonstruktion — pickle, Java readObject, YAML load. Oft gleichbedeutend mit RCE.
Protokoll & Codierung (Cache-Sicherheit, Codierungsverwechslung, Längenpräfix-Vertrauen): Schichten sind sich uneinig oder vertrauen deklarierten Größen. Z. B. Cache-Poisoning über Host-Header.
Schweregrade
Der Schweregrad wird pro Ergebnis basierend auf der Ausnutzbarkeit in Ihrer Codebasis zugewiesen, nicht auf der Kategorie selbst — daher kann die gleiche Kategorie in verschiedenen Repositories unterschiedliche Schweregrade haben.
Schweregrad | Kriterien | Typisches Beispiel |
Hoch | Ausnutzbar durch einen nicht authentifizierten Remote-Angreifer gegen eine Standardbereitstellung, ohne sinnvolle Vorbedingungen | Nicht authentifizierte Command Injection in einem öffentlichen API-Endpunkt |
Mittel | Ausnutzbar hinter Authentifizierung oder benötigt 1–2 realistische Vorbedingungen (spezifische Rolle, bekannte Kennung, Benutzerinteraktion) | SQL-Injection hinter Auth, die Kenntnisse des Tabellenschemas erfordert |
Niedrig | Benötigt 3+ Vorbedingungen, nur lokalen Zugriff oder fehlt ein konkreter nachgewiesener Angriffspfad | Timing-Seitenkanal, der Netzwerknähe und Tausende von Anfragen erfordert |
Struktur von Ergebnissen
Jedes Ergebnis enthält die folgenden Felder:
Titel — kurzer beschreibender Name des Ergebnisses
Details — Beschreibung des Ergebnisses und warum es wichtig ist
Standort — Dateipfad und Zeilennummer, verlinkt zur Quelle
Auswirkung — was schief gehen könnte, wenn dies nicht behoben wird
Reproduktionsschritte — geordnete Liste von Schritten zum Reproduzieren oder Beobachten des Problems
Empfohlene Behebung — Anleitung zur Behebung
Schweregrad — HOCH / MITTEL / NIEDRIG
Status — Offen / Verworfen / Gelöst
Kategorie — Ergebnistyp
Repository — Repository-Kennung
Branch — Branch-Name, für den das Ergebnis erstellt wurde
Erstellungsdatum — Datum, an dem das Ergebnis erstellt wurde
Wird nur angezeigt, wenn das Ergebnis verworfen wurde:
Grund für Verwerfung
Verwerfungsnotiz — optional
Häufig gestellte Fragen
Produktpreis und Kosten — Scans werden nur zu direkten Token-Kosten berechnet. Es gibt keine zusätzliche Plattformgebühr für Claude Security.
Scandauer — Die Scandauer variiert je nach Repository und den Aktionen des Agenten.
Schweregrad-Konfiguration — Derzeit ist der Schweregrad nicht konfigurierbar.
Nicht-GitHub-Repositories — Derzeit können nur auf GitHub gehostete Repositories gescannt werden.
Keine Zero Data Retention (Kein ZDR) — Anthropic kann Daten beibehalten, wenn dies gesetzlich erforderlich ist oder um Verstöße gegen die Nutzungsrichtlinie zu beheben.
Scan-Konsistenz — Scans sind von Natur aus stochastisch. Im Gegensatz zu traditionellen statischen Analysatoren verwendet Claude Security einen Agenten, der seine Analyse an jeden Durchlauf anpasst und über Code-Kontext nachdenkt, anstatt feste Mustererkennung anzuwenden. Dies ermöglicht die Tiefe der Analyse, die erforderlich ist, um Logik-Anfälligkeiten zu erkennen.
Ergebnisse exportieren — Sie können Ergebnisse kopieren, als CSV oder Markdown herunterladen oder sie über projektspezifische Webhooks an Ihre eigenen Tracking- und Benachrichtigungssysteme übertragen. Siehe die Anleitung „Erste Schritte"."
Feedback — Bitte teilen Sie Ihr Feedback über das In-Product-Feedback-Symbol auf der rechten Seite mit.
IP-Adressen für Github — Verwenden Sie den folgenden Anthropic-Leitfaden für IP-Adressen-Whitelisting: IP-Adressen.
Nutzungsumfang: Sie werden Claude Security nur zum Scannen von Code verwenden, den Sie oder Ihr Unternehmen besitzt und für den Sie oder Ihr Unternehmen alle erforderlichen Rechte zum Scannen haben. Sie werden Claude Security nicht zum Scannen von Code verwenden, der von Dritten besessen oder lizenziert ist, einschließlich, aber nicht beschränkt auf Open-Source-Projekte oder Repositories, die nicht in den Codebases Ihres Unternehmens enthalten sind.