Ir al contenido principal

Revisiones de Seguridad Automatizadas en Claude Code

Actualizado ayer

Claude Code ahora incluye funciones automatizadas de revisión de seguridad para ayudarte a identificar y corregir vulnerabilidades en tu código. Esta guía explica cómo usar el comando /security-review y GitHub Actions para mejorar la seguridad de tu código.

Nota: Aunque las revisiones de seguridad automatizadas ayudan a identificar muchas vulnerabilidades comunes, deben complementar, no reemplazar, tus prácticas de seguridad existentes y revisiones de código manual.

Descripción General

Las revisiones de seguridad automatizadas en Claude Code ayudan a los desarrolladores a detectar vulnerabilidades antes de que lleguen a producción. Estas funciones verifican problemas de seguridad comunes, incluyendo riesgos de inyección SQL, vulnerabilidades de cross-site scripting (XSS), fallos de autenticación, manejo inseguro de datos y vulnerabilidades de dependencias.

Puedes usar revisiones de seguridad de dos formas: a través del comando /security-review para verificaciones bajo demanda en tu terminal, o a través de GitHub Actions para revisión automática de solicitudes de extracción.

Disponibilidad

Estas funciones están disponibles para todos los usuarios de Claude Code, incluyendo:

  • Usuarios en planes pagos individuales (Pro o Max).

  • Usuarios individuales o empresas con cuentas de API Console de pago por uso.

Usando el comando /security-review

El comando /security-review te permite ejecutar análisis de seguridad directamente desde tu terminal antes de confirmar el código.

Ejecutar una Revisión de Seguridad

Para verificar tu código en busca de vulnerabilidades:

  1. Abre Claude Code en tu directorio de proyecto.

  2. Ejecuta /security-review en la terminal.

  3. Claude analizará tu base de código e identificará posibles problemas de seguridad.

  4. Revisa las explicaciones detalladas proporcionadas para cada problema encontrado.

Implementar Correcciones

Después de que Claude identifique vulnerabilidades, puedes pedirle que implemente correcciones directamente. Esto mantiene las revisiones de seguridad integradas en tu flujo de trabajo de desarrollo, permitiéndote abordar problemas cuando sea más fácil resolverlos.

Personalizar el Comando

Puedes personalizar el comando /security-review según tus necesidades específicas. Consulta la documentación de revisión de seguridad para opciones de configuración.

Configurar GitHub Actions para revisiones automatizadas de PR

Después de instalar y configurar la acción de GitHub, revisará automáticamente cada solicitud de extracción en busca de vulnerabilidades de seguridad cuando se abra.

Instalación

Para configurar revisiones de seguridad automatizadas para tu repositorio:

  1. Navega a la configuración de GitHub Actions de tu repositorio

  2. Sigue la guía de instalación paso a paso en nuestra documentación

  3. Configura la acción de acuerdo con los requisitos de seguridad de tu equipo

Cómo Funciona

Una vez configurada, la acción de GitHub:

  • Se activa automáticamente cuando se abren nuevas solicitudes de extracción.

  • Revisa los cambios de código en busca de vulnerabilidades de seguridad.

  • Aplica reglas de filtrado personalizables para reducir falsos positivos.

  • Publica comentarios en línea en la PR con problemas identificados y correcciones recomendadas.

Esto crea un proceso de revisión de seguridad consistente en todo tu equipo, asegurando que el código se verifique en busca de vulnerabilidades antes de fusionarse.

Opciones de Personalización

Puedes personalizar la acción de GitHub para que coincida con las políticas de seguridad de tu equipo, incluyendo la configuración de reglas específicas para tu base de código y el ajuste de niveles de sensibilidad para diferentes tipos de vulnerabilidades.

¿Qué problemas de seguridad se pueden detectar?

Tanto el comando /security-review como la acción de GitHub verifican patrones de vulnerabilidades comunes:

  • Riesgos de inyección SQL: Identifica posibles vulnerabilidades de consultas de base de datos.

  • Cross-site scripting (XSS): Detecta vulnerabilidades de inyección de scripts del lado del cliente.

  • Fallos de autenticación y autorización: Encuentra problemas con el control de acceso.

  • Manejo inseguro de datos: Identifica problemas con validación y sanitización de datos.

  • Vulnerabilidades de dependencias: Verifica problemas conocidos en paquetes de terceros.

Comenzar

Para comenzar a usar revisiones de seguridad automatizadas:

  • Para el comando /security-review: Actualiza Claude Code a la última versión (ejecuta), luego ejecuta /security-review en tu directorio de proyecto.

    • Claude Code se actualiza automáticamente para asegurar que tengas las últimas funciones y correcciones de seguridad, pero también puedes ejecutar claude update para actualizar manualmente.

  • Para las acciones de GitHub: Visita nuestra documentación para instrucciones de instalación y configuración.

Mejores Prácticas

Para obtener resultados óptimos, recomendamos ejecutar /security-review antes de confirmar cambios significativos y configurar la acción de GitHub para todos los repositorios que contengan código de producción. Considera ajustar las reglas de filtrado según los requisitos de seguridad específicos de tu equipo y las características de tu base de código.

Artículos relacionados
Usando Claude Code con tu plan Pro o Max
Usar Claude Code con tu plan Team o Enterprise
Gestión de Variables de Entorno de Claves API en Claude Code
Preguntas Frecuentes sobre Claude Code
Claude Code en la web
¿Ha quedado contestada tu pregunta?