Lewati ke konten utama

Tinjauan Keamanan Otomatis di Claude Code

Diperbarui kemarin

Claude Code sekarang mencakup fitur tinjauan keamanan otomatis untuk membantu Anda mengidentifikasi dan memperbaiki kerentanan dalam kode Anda. Panduan ini menjelaskan cara menggunakan perintah /security-review dan GitHub Actions untuk meningkatkan keamanan kode Anda.

Catatan: Meskipun tinjauan keamanan otomatis membantu mengidentifikasi banyak kerentanan umum, tinjauan ini harus melengkapi, bukan menggantikan, praktik keamanan yang ada dan tinjauan kode manual Anda.

Ikhtisar

Tinjauan keamanan otomatis di Claude Code membantu pengembang menangkap kerentanan sebelum mencapai produksi. Fitur-fitur ini memeriksa masalah keamanan umum termasuk risiko injeksi SQL, kerentanan cross-site scripting (XSS), cacat autentikasi, penanganan data yang tidak aman, dan kerentanan dependensi.

Anda dapat menggunakan tinjauan keamanan dengan dua cara: melalui perintah /security-review untuk pemeriksaan sesuai permintaan di terminal Anda, atau melalui GitHub Actions untuk tinjauan otomatis permintaan tarik.

Ketersediaan

Fitur-fitur ini tersedia untuk semua pengguna Claude Code, termasuk:

  • Pengguna pada paket berbayar individual (Pro atau Max).

  • Pengguna individual atau perusahaan dengan akun API Console bayar sesuai penggunaan.

Menggunakan perintah /security-review

Perintah /security-review memungkinkan Anda menjalankan analisis keamanan langsung dari terminal Anda sebelum melakukan komit kode.

Menjalankan Tinjauan Keamanan

Untuk memeriksa kode Anda terhadap kerentanan:

  1. Buka Claude Code di direktori proyek Anda.

  2. Jalankan /security-review di terminal.

  3. Claude akan menganalisis basis kode Anda dan mengidentifikasi potensi masalah keamanan.

  4. Tinjau penjelasan terperinci yang disediakan untuk setiap masalah yang ditemukan.

Menerapkan Perbaikan

Setelah Claude mengidentifikasi kerentanan, Anda dapat memintanya untuk menerapkan perbaikan secara langsung. Ini membuat tinjauan keamanan terintegrasi dalam alur kerja pengembangan Anda, memungkinkan Anda mengatasi masalah ketika paling mudah untuk diselesaikan.

Menyesuaikan Perintah

Anda dapat menyesuaikan perintah /security-review untuk kebutuhan spesifik Anda. Lihat dokumentasi tinjauan keamanan untuk opsi konfigurasi.

Menyiapkan GitHub Actions untuk tinjauan PR otomatis

Setelah menginstal dan mengonfigurasi tindakan GitHub, tindakan ini akan secara otomatis meninjau setiap permintaan tarik untuk kerentanan keamanan ketika dibuka.

Instalasi

Untuk menyiapkan tinjauan keamanan otomatis untuk repositori Anda:

  1. Navigasikan ke pengaturan GitHub Actions repositori Anda

  2. Ikuti panduan instalasi langkah demi langkah dalam dokumentasi kami

  3. Konfigurasikan tindakan sesuai dengan persyaratan keamanan tim Anda

Cara Kerjanya

Setelah dikonfigurasi, tindakan GitHub:

  • Dipicu secara otomatis ketika permintaan tarik baru dibuka.

  • Meninjau perubahan kode untuk kerentanan keamanan.

  • Menerapkan aturan penyaringan yang dapat disesuaikan untuk mengurangi positif palsu.

  • Memposting komentar sebaris pada PR dengan masalah yang diidentifikasi dan perbaikan yang direkomendasikan.

Ini menciptakan proses tinjauan keamanan yang konsisten di seluruh tim Anda, memastikan kode diperiksa untuk kerentanan sebelum digabungkan.

Opsi Kustomisasi

Anda dapat menyesuaikan tindakan GitHub untuk mencocokkan kebijakan keamanan tim Anda, termasuk menetapkan aturan spesifik untuk basis kode Anda dan menyesuaikan tingkat sensitivitas untuk jenis kerentanan yang berbeda.

Masalah keamanan apa yang dapat dideteksi?

Baik perintah /security-review maupun tindakan GitHub memeriksa pola kerentanan umum:

  • Risiko injeksi SQL: Mengidentifikasi potensi kerentanan kueri basis data.

  • Cross-site scripting (XSS): Mendeteksi kerentanan injeksi skrip sisi klien.

  • Cacat autentikasi dan otorisasi: Menemukan masalah dengan kontrol akses.

  • Penanganan data yang tidak aman: Mengidentifikasi masalah dengan validasi dan sanitasi data.

  • Kerentanan dependensi: Memeriksa masalah yang diketahui dalam paket pihak ketiga.

Memulai

Untuk mulai menggunakan tinjauan keamanan otomatis:

  • Untuk perintah /security-review: Perbarui Claude Code ke versi terbaru (jalankan), kemudian jalankan /security-review di direktori proyek Anda.

    • Claude Code secara otomatis memperbarui dirinya sendiri untuk memastikan Anda memiliki fitur dan perbaikan keamanan terbaru, tetapi Anda juga dapat menjalankan claude update untuk memperbarui secara manual.

  • Untuk tindakan GitHub: Kunjungi

Artikel Terkait
Menggunakan Claude Code dengan paket Pro atau Max Anda
Menggunakan Claude Code dengan paket Team atau Enterprise Anda
Analitik Penggunaan Kode Claude
Claude Code - Pertanyaan Umum
Menggunakan Scholar Gateway Connector di Claude
Apakah pertanyaan Anda terjawab?