Passer au contenu principal

Utiliser Claude Security

Aperçu

Claude Security est une fonctionnalité intégrée à Claude.ai qui analyse les bases de code pour détecter les vulnérabilités de sécurité et suggère des correctifs ciblés pour examen humain. Elle aide les équipes à trouver et corriger les problèmes que les méthodes traditionnelles manquent souvent.

Claude Security est maintenant disponible en bêta publique pour les utilisateurs des plans Max, Team et Enterprise.

Claude Security vous permet de :

  1. Analyser votre code en parallèle — Claude Security comprend le contexte, trace les flux de données entre les fichiers et identifie les modèles de vulnérabilité complexes et multi-composants que les scanners traditionnels pourraient ne pas détecter.

  2. Valider les résultats — Chaque résultat passe par une vérification multi-étapes, Claude remettant en question ses propres résultats avant de les présenter. Le résultat : plus de problèmes réels signalés et moins de faux positifs.

  3. Examiner et corriger — Passez facilement d'un résultat à une session Claude Code pour examiner le correctif proposé. Résolvez les vulnérabilités rapidement au lieu de constituer un arriéré.

Découvrez comment commencer et comment les grandes entreprises utilisent l'outil ici : Commencer avec Claude Security.

Types de résultats

Les résultats se répartissent dans ces catégories d'exemple ci-dessous.

Injection (SQL, Command, Code, XSS) : Une entrée non fiable modifie la structure de la requête ou est exécutée. Par ex., ' OR 1=1--, ; rm -rf /, <script> dans un commentaire.

Injection (XXE, ReDoS) : Les analyseurs ou les expressions régulières sont abusés par une entrée élaborée. Par ex., XML <!ENTITY> lisant /etc/passwd.

Chemin et réseau (Traversée de répertoires, SSRF, Redirection ouverte) : L'entrée contrôle les chemins de fichiers, les destinations de requête ou les redirections. Par ex., ../../etc/passwd, récupération de http://169.254.169.254/.

Authentification et accès (Contournement AuthN, PrivEsc, IDOR/BOLA, CSRF, Race) : Les vérifications d'accès manquent, sont contournables ou sujettes aux conditions de concurrence. Par ex., GET /orders/123 retourne la commande de quelqu'un d'autre.

Sécurité de la mémoire (Débordement de tampon/entier, UAF, utilisation dangereuse) : L'entrée écrit au-delà des limites, enveloppe l'arithmétique ou accède à la mémoire libérée. Principalement C/C++/Rust unsafe.

Cryptographie (Fuites de synchronisation, confusion d'algorithme, primitives faibles) : Branches dépendantes du secret, JWT alg=none, ou MD5/SHA-1/DES/ECB dans les chemins de sécurité.

Désérialisation (Instanciation de type arbitraire) : Les octets non fiables pilotent la construction d'objets — pickle, Java readObject, YAML load. Souvent équivalent à RCE.

Protocole et encodage (Sécurité du cache, confusion d'encodage, confiance en préfixe de longueur) : Les couches ne sont pas d'accord ou font confiance aux tailles déclarées. Par ex., empoisonnement du cache via l'en-tête Host.

Niveaux de gravité

La gravité est attribuée par résultat en fonction de l'exploitabilité dans votre base de code, pas de la catégorie elle-même — la même catégorie peut donc avoir des niveaux de gravité différents dans différents référentiels.

Gravité

Critères

Exemple typique

Élevée

Exploitable par un attaquant distant non authentifié contre un déploiement par défaut, sans conditions préalables significatives

Injection de commande non authentifiée dans un point de terminaison API public

Moyen

Exploitable derrière l'authentification, ou nécessite 1–2 conditions préalables réalistes (rôle spécifique, identifiant connu, interaction utilisateur)

Injection SQL derrière l'authentification nécessitant la connaissance du schéma de table

Faible

Nécessite 3+ conditions préalables, accès local uniquement, ou manque d'un chemin d'attaque concret démontré

Canal auxiliaire de synchronisation nécessitant la proximité réseau et des milliers de requêtes

Structure de résultat

Chaque résultat contient les champs suivants :

  • Titre — nom descriptif court du résultat

  • Détails — description de ce qu'est le résultat et pourquoi c'est important

  • Emplacement — chemin du fichier et numéro de ligne, lié à la source

  • Impact — ce qui pourrait mal tourner si cela n'est pas résolu

  • Étapes de reproduction — liste ordonnée des étapes pour reproduire ou observer le problème

  • Correctif recommandé — conseils sur la façon de le résoudre

  • Gravité — ÉLEVÉE / MOYEN / FAIBLE

  • Statut — Ouvert / Rejeté / Résolu

  • Catégorie — type de résultat

  • Référentiel — identifiant du référentiel

  • Branche — nom de la branche sur laquelle le résultat a été produit

  • Date de création — date de création du résultat

  • Affiché uniquement si le résultat a été rejeté :

    • Raison du rejet

    • Note de rejet — optionnel

Questions fréquemment posées

  • Durée d'analyse — Le temps d'analyse varie en fonction du référentiel et des actions de l'agent.

  • Configuration de la gravité — À ce jour, la gravité n'est pas configurable.

  • Référentiels non-GitHub — Seuls les référentiels hébergés sur GitHub peuvent être analysés aujourd'hui.

  • Aucune rétention de données zéro (No ZDR) — Anthropic peut conserver les données si la loi l'exige ou pour traiter les violations de la politique d'utilisation.

  • Cohérence d'analyse — Les analyses sont stochastiques par conception. Contrairement aux analyseurs statiques traditionnels, Claude Security utilise un agent qui adapte son analyse à chaque exécution, en raisonnant sur le contexte du code plutôt que d'appliquer des correspondances de motifs fixes. Cela permet la profondeur d'analyse nécessaire pour détecter les vulnérabilités au niveau de la logique.

  • Exportation des résultats — Vous pouvez copier les résultats, les télécharger en CSV ou Markdown, ou les envoyer à vos propres systèmes de suivi et de notification via des webhooks par projet. Consultez le guide « Commencer ».

  • Retours — Veuillez partager vos commentaires en utilisant l'icône de retour intégrée au produit sur la droite.

  • Adresses IP pour Github — Utilisez le guide Anthropic suivant pour les adresses IP à autoriser : Adresses IP.

Champ d'application : Vous n'utiliserez Claude Security que pour analyser le code que vous ou votre entreprise possédez et pour lequel vous ou votre entreprise détenez tous les droits nécessaires pour analyser. Vous n'utiliserez pas Claude Security pour analyser le code appartenant à des tiers ou concédé sous licence par des tiers, y compris, mais sans s'y limiter, les projets open source ou les référentiels autres que ceux inclus dans votre ou vos bases de code d'entreprise.

Articles connexes
Examens de sécurité automatisés dans Claude Code
Analyse d'utilisation de Claude Code
Utiliser Claude dans Slack
Configurer la révision de code pour Claude Code
Claude Code : Cas d'usage courants pour les développeurs
Avez-vous trouvé la réponse à votre question ?