Passer au contenu principal

Examens de sécurité automatisés dans Claude Code

Mis à jour hier

Claude Code inclut désormais des fonctionnalités d'examen de sécurité automatisé pour vous aider à identifier et corriger les vulnérabilités dans votre code. Ce guide explique comment utiliser la commande /security-review et GitHub Actions pour améliorer la sécurité de votre code.

Remarque : Bien que les examens de sécurité automatisés aident à identifier de nombreuses vulnérabilités courantes, ils doivent compléter, et non remplacer, vos pratiques de sécurité existantes et vos examens de code manuels.

Aperçu

Les examens de sécurité automatisés dans Claude Code aident les développeurs à détecter les vulnérabilités avant qu'elles ne se retrouvent en production. Ces fonctionnalités vérifient les problèmes de sécurité courants, notamment les risques d'injection SQL, les vulnérabilités de cross-site scripting (XSS), les défauts d'authentification, la gestion insécurisée des données et les vulnérabilités de dépendances.

Vous pouvez utiliser les examens de sécurité de deux façons : via la commande /security-review pour des vérifications à la demande dans votre terminal, ou via GitHub Actions pour un examen automatique des demandes de tirage.

Disponibilité

Ces fonctionnalités sont disponibles pour tous les utilisateurs de Claude Code, notamment :

  • Les utilisateurs disposant de plans payants individuels (Pro ou Max).

  • Les utilisateurs individuels ou les entreprises disposant de comptes API Console avec paiement à l'utilisation.

Utilisation de la commande /security-review

La commande /security-review vous permet d'exécuter une analyse de sécurité directement depuis votre terminal avant de valider le code.

Exécution d'un examen de sécurité

Pour vérifier votre code pour les vulnérabilités :

  1. Ouvrez Claude Code dans votre répertoire de projet.

  2. Exécutez /security-review dans le terminal.

  3. Claude analysera votre base de code et identifiera les problèmes de sécurité potentiels.

  4. Examinez les explications détaillées fournies pour chaque problème trouvé.

Implémentation des correctifs

Une fois que Claude a identifié les vulnérabilités, vous pouvez lui demander d'implémenter les correctifs directement. Cela maintient les examens de sécurité intégrés dans votre flux de travail de développement, vous permettant de résoudre les problèmes quand ils sont les plus faciles à corriger.

Personnalisation de la commande

Vous pouvez personnaliser la commande /security-review selon vos besoins spécifiques. Consultez la documentation sur l'examen de sécurité pour les options de configuration.

Configuration de GitHub Actions pour les examens automatisés des demandes de tirage

Après l'installation et la configuration de l'action GitHub, elle examinera automatiquement chaque demande de tirage pour les vulnérabilités de sécurité lors de son ouverture.

Installation

Pour configurer les examens de sécurité automatisés pour votre référentiel :

  1. Accédez aux paramètres GitHub Actions de votre référentiel

  2. Suivez le guide d'installation étape par étape dans notre documentation

  3. Configurez l'action selon les exigences de sécurité de votre équipe

Fonctionnement

Une fois configurée, l'action GitHub :

  • Se déclenche automatiquement lorsque de nouvelles demandes de tirage sont ouvertes.

  • Examine les modifications de code pour les vulnérabilités de sécurité.

  • Applique des règles de filtrage personnalisables pour réduire les faux positifs.

  • Publie des commentaires en ligne sur la demande de tirage avec les problèmes identifiés et les correctifs recommandés.

Cela crée un processus d'examen de sécurité cohérent dans toute votre équipe, garantissant que le code est vérifié pour les vulnérabilités avant la fusion.

Options de personnalisation

Vous pouvez personnaliser l'action GitHub pour qu'elle corresponde aux politiques de sécurité de votre équipe, notamment en définissant des règles spécifiques pour votre base de code et en ajustant les niveaux de sensibilité pour différents types de vulnérabilités.

Quels problèmes de sécurité peuvent être détectés ?

La commande /security-review et l'action GitHub vérifient les modèles de vulnérabilité courants :

  • Risques d'injection SQL : Identifie les vulnérabilités potentielles des requêtes de base de données.

  • Cross-site scripting (XSS) : Détecte les vulnérabilités d'injection de scripts côté client.

  • Défauts d'authentification et d'autorisation : Trouve les problèmes de contrôle d'accès.

  • Gestion insécurisée des données : Identifie les problèmes de validation et d'assainissement des données.

  • Vulnérabilités de dépendances : Vérifie les problèmes connus dans les packages tiers.

Mise en route

Pour commencer à utiliser les examens de sécurité automatisés :

  • Pour la commande /security-review : Mettez à jour Claude Code vers la dernière version (exécutez), puis exécutez /security-review dans votre répertoire de projet.

    • Claude Code se met à jour automatiquement pour vous assurer que vous disposez des dernières fonctionnalités et correctifs de sécurité, mais vous pouvez également exécuter claude update pour mettre à jour manuellement.

  • Pour les actions GitHub : Consultez notre

Articles connexes
Qu'est-ce que le plan Enterprise ?
Créer et modifier des fichiers avec Claude
Claude Code - FAQ
Simplifiez votre expérience de navigation avec Claude for Chrome
Claude Code sur le web
Avez-vous trouvé la réponse à votre question ?