Passer au contenu principal

Revues de sécurité automatisées dans Claude Code

Mis à jour cette semaine

Claude Code inclut désormais des fonctionnalités d'examen de sécurité automatisé pour vous aider à identifier et corriger les vulnérabilités dans votre code. Ce guide explique comment utiliser la commande /security-review et GitHub Actions pour améliorer la sécurité de votre code.

Remarque : Bien que les examens de sécurité automatisés aident à identifier de nombreuses vulnérabilités courantes, ils doivent compléter, et non remplacer, vos pratiques de sécurité existantes et vos examens manuels du code.

Aperçu

Les examens de sécurité automatisés dans Claude Code aident les développeurs à détecter les vulnérabilités avant qu'elles n'atteignent la production. Ces fonctionnalités vérifient les problèmes de sécurité courants, notamment les risques d'injection SQL, les vulnérabilités de cross-site scripting (XSS), les failles d'authentification, la gestion non sécurisée des données et les vulnérabilités des dépendances.

Vous pouvez utiliser les examens de sécurité de deux manières : via la commande /security-review pour des vérifications à la demande dans votre terminal, ou via GitHub Actions pour l'examen automatique des pull requests.

Disponibilité

Ces fonctionnalités sont disponibles pour tous les utilisateurs de Claude Code, notamment :

  • Les utilisateurs disposant de forfaits payants individuels (Pro ou Max).

  • Les utilisateurs individuels ou les entreprises disposant de comptes API Console avec paiement à l'utilisation.

Utilisation de la commande /security-review

La commande /security-review vous permet d'exécuter une analyse de sécurité directement depuis votre terminal avant de valider le code.

Exécution d'un examen de sécurité

Pour vérifier les vulnérabilités de votre code :

  1. Ouvrez Claude Code dans le répertoire de votre projet.

  2. Exécutez /security-review dans le terminal.

  3. Claude analysera votre base de code et identifiera les problèmes de sécurité potentiels.

  4. Examinez les explications détaillées fournies pour chaque problème détecté.

Mise en œuvre des corrections

Après que Claude a identifié les vulnérabilités, vous pouvez lui demander de mettre en œuvre les corrections directement. Cela permet de maintenir les examens de sécurité intégrés dans votre flux de travail de développement, vous permettant de résoudre les problèmes au moment où ils sont les plus faciles à corriger.

Personnalisation de la commande

Vous pouvez personnaliser la commande /security-review selon vos besoins spécifiques. Consultez la documentation sur l'examen de sécurité pour les options de configuration.

Configuration de GitHub Actions pour les examens automatisés des PR

Après avoir installé et configuré l'action GitHub, elle examinera automatiquement chaque pull request pour détecter les vulnérabilités de sécurité lors de son ouverture.

Installation

Pour configurer les examens de sécurité automatisés pour votre dépôt :

  1. Accédez aux paramètres GitHub Actions de votre dépôt

  2. Suivez le guide d'installation étape par étape dans notre documentation

  3. Configurez l'action selon les exigences de sécurité de votre équipe

Fonctionnement

Une fois configurée, l'action GitHub :

  • Se déclenche automatiquement lors de l'ouverture de nouvelles pull requests.

  • Examine les modifications du code pour détecter les vulnérabilités de sécurité.

  • Applique des règles de filtrage personnalisables pour réduire les faux positifs.

  • Publie des commentaires en ligne sur la PR avec les problèmes identifiés et les corrections recommandées.

Cela crée un processus d'examen de sécurité cohérent pour toute votre équipe, garantissant que le code est vérifié pour détecter les vulnérabilités avant la fusion.

Options de personnalisation

Vous pouvez personnaliser l'action GitHub pour qu'elle corresponde aux politiques de sécurité de votre équipe, notamment en définissant des règles spécifiques pour votre base de code et en ajustant les niveaux de sensibilité pour différents types de vulnérabilités.

Quels problèmes de sécurité peuvent être détectés ?

La commande /security-review et l'action GitHub vérifient toutes deux les modèles de vulnérabilités courants :

  • Risques d'injection SQL : Identifie les vulnérabilités potentielles des requêtes de base de données.

  • Cross-site scripting (XSS) : Détecte les vulnérabilités d'injection de scripts côté client.

  • Failles d'authentification et d'autorisation : Trouve les problèmes de contrôle d'accès.

  • Gestion non sécurisée des données : Identifie les problèmes de validation et d'assainissement des données.

  • Vulnérabilités des dépendances : Vérifie les problèmes connus dans les packages tiers.

Premiers pas

Pour commencer à utiliser les examens de sécurité automatisés :

  • Pour la commande /security-review : Mettez à jour Claude Code vers la dernière version (exécutez), puis exécutez /security-review dans le répertoire de votre projet.

    • Claude Code se met automatiquement à jour pour garantir que vous disposez des dernières fonctionnalités et correctifs de sécurité, mais vous pouvez également exécuter claude update pour effectuer une mise à jour manuelle.

  • Pour les actions GitHub : Consultez notre documentation pour les instructions d'installation et de configuration.

Bonnes pratiques

Pour des résultats optimaux, nous recommandons d'exécuter /security-review avant de valider des modifications importantes et de configurer l'action GitHub pour tous les dépôts contenant du code de production. Envis

Articles connexes
Je souhaiterais saisir des données sensibles dans mes conversations avec Claude. Qui peut consulter mes conversations ?
Créer et modifier des fichiers avec Claude
FAQ de Claude Code
Claude Code sur le web
Utiliser Claude pour Chrome en toute sécurité
Avez-vous trouvé la réponse à votre question ?