Ikhtisar
Claude Security adalah kemampuan yang tertanam dalam Claude.ai yang memindai basis kode untuk kerentanan keamanan dan menyarankan patch yang ditargetkan untuk ditinjau manusia. Ini membantu tim menemukan dan memperbaiki masalah yang sering terlewatkan oleh metode tradisional.
Claude Security sekarang tersedia dalam beta publik untuk pengguna pada paket Max, Team, dan Enterprise.
Claude Security memungkinkan Anda untuk:
Pindai kode Anda secara paralel — Claude Security memahami konteks, melacak aliran data di seluruh file, dan mengidentifikasi pola kerentanan yang kompleks dan multi-komponen yang mungkin tidak terdeteksi oleh pemindai tradisional.
Validasi temuan — Setiap temuan melalui verifikasi multi-tahap, dengan Claude menantang hasil sendiri sebelum menyajikannya. Hasilnya: lebih banyak masalah nyata dilaporkan dan lebih sedikit positif palsu.
Tinjau dan perbaiki — Bergerak dengan mulus dari temuan ke sesi Claude Code untuk meninjau perbaikan yang diusulkan. Selesaikan kerentanan dengan cepat alih-alih menumpuk backlog.
Pelajari cara memulai dan bagaimana perusahaan terkemuka menggunakan alat ini di sini: Memulai dengan Claude Security.
Jenis temuan
Temuan jatuh ke dalam kategori contoh di bawah ini.
Injeksi (SQL, Command, Code, XSS): Input yang tidak dipercaya mengubah struktur kueri atau dieksekusi. Misalnya, ' OR 1=1--, ; rm -rf /, <script> dalam komentar.
Injeksi (XXE, ReDoS): Parser atau regex disalahgunakan oleh input yang dirancang. Misalnya, XML <!ENTITY> membaca /etc/passwd.
Jalur & Jaringan (Traversal jalur, SSRF, Pengalihan terbuka): Input mengontrol jalur file, tujuan permintaan, atau pengalihan. Misalnya, ../../etc/passwd, mengambil http://169.254.169.254/.
Otentikasi & Akses (Bypass AuthN, PrivEsc, IDOR/BOLA, CSRF, Race): Pemeriksaan akses hilang, dapat dilewati, atau bergerak cepat. Misalnya, GET /orders/123 mengembalikan pesanan orang lain.
Keamanan Memori (Buffer/integer overflow, UAF, unsafe misuse): Input menulis melampaui batas, membungkus aritmatika, atau mengenai memori yang dibebaskan. Sebagian besar C/C++/Rust unsafe.
Kriptografi (Timing leaks, algorithm confusion, weak primitives): Cabang yang bergantung pada rahasia, JWT alg=none, atau MD5/SHA-1/DES/ECB dalam jalur keamanan.
Deserialisasi (Instantiasi tipe arbitrer): Byte yang tidak dipercaya mendorong konstruksi objek — pickle, Java readObject, YAML load. Sering kali sama dengan RCE.
Protokol & Pengkodean (Keamanan cache, kebingungan pengkodean, kepercayaan panjang-awalan): Lapisan tidak setuju atau mempercayai ukuran yang dideklarasikan. Misalnya, cache poisoning melalui header Host.
Tingkat Keparahan
Tingkat keparahan ditugaskan per temuan berdasarkan kemampuan eksploitasi dalam basis kode Anda, bukan kategori itu sendiri—jadi kategori yang sama dapat mendarat pada tingkat keparahan yang berbeda di repo yang berbeda.
Tingkat Keparahan | Kriteria | Contoh tipikal |
Tinggi | Dapat dieksploitasi oleh penyerang jarak jauh yang tidak terotentikasi terhadap penerapan default, tanpa prasyarat yang berarti | Injeksi perintah yang tidak terotentikasi di titik akhir API publik |
Sedang | Dapat dieksploitasi di balik otentikasi, atau memerlukan 1–2 prasyarat yang realistis (peran tertentu, pengenal yang diketahui, interaksi pengguna) | Injeksi SQL di balik otentikasi yang memerlukan pengetahuan skema tabel |
Rendah | Memerlukan 3+ prasyarat, akses lokal saja, atau kurang jalur serangan yang konkret dan terbukti | Saluran samping waktu yang memerlukan kedekatan jaringan dan ribuan permintaan |
Struktur temuan
Setiap temuan berisi bidang berikut:
Judul — nama deskriptif singkat dari temuan
Detail — deskripsi tentang apa temuan itu dan mengapa itu penting
Lokasi — jalur file dan nomor baris, tertaut ke sumber
Dampak — apa yang bisa terjadi jika ini tidak ditangani
Langkah reproduksi — daftar urutan langkah untuk mereproduksi atau mengamati masalah
Perbaikan yang direkomendasikan — panduan tentang cara menyelesaikannya
Tingkat keparahan — TINGGI / SEDANG / RENDAH
Status — Buka / Ditolak / Diselesaikan
Kategori — jenis temuan
Repositori — pengenal repositori
Cabang — nama cabang yang dihasilkan temuan
Tanggal dibuat — tanggal temuan dibuat
Ditampilkan hanya jika temuan ditolak:
Alasan penolakan
Catatan penolakan — opsional
Pertanyaan yang sering diajukan
Durasi pemindaian — Waktu pemindaian bervariasi berdasarkan repositori dan tindakan agen.
Konfigurasi tingkat keparahan — hingga hari ini, tingkat keparahan tidak dapat dikonfigurasi.
Repositori non-GitHub — Hanya repositori yang dihosting di GitHub yang dapat dipindai hari ini.
Tanpa Retensi Data Zero (Tanpa ZDR) — Anthropic dapat menyimpan data jika diperlukan oleh hukum atau untuk mengatasi pelanggaran Kebijakan Penggunaan.
Konsistensi pemindaian — Pemindaian bersifat stokastik menurut desain. Tidak seperti penganalisis statis tradisional, Claude Security menggunakan agen yang menyesuaikan analisisnya dengan setiap jalankan, bernalar atas konteks kode daripada menerapkan kecocokan pola tetap. Ini memungkinkan kedalaman analisis yang diperlukan untuk menangkap kerentanan tingkat logika.
Mengekspor temuan — Anda dapat menyalin temuan, mengunduhnya sebagai CSV atau Markdown, atau mendorongnya ke sistem pelacakan dan notifikasi Anda sendiri melalui webhook per-proyek. Lihat panduan "memulai".
Umpan balik — Silakan bagikan umpan balik Anda menggunakan ikon umpan balik dalam produk di sebelah kanan.
Alamat IP untuk Github — Gunakan panduan Anthropic berikut untuk alamat IP allowlisting: Alamat IP.
Ruang lingkup penggunaan: Anda hanya akan menggunakan Claude Security untuk memindai kode yang Anda atau perusahaan Anda miliki dan yang Anda atau perusahaan Anda miliki semua hak yang diperlukan untuk memindai. Anda tidak akan menggunakan Claude Security untuk memindai kode yang dimiliki oleh atau dilisensikan dari pihak ketiga, termasuk tetapi tidak terbatas pada proyek sumber terbuka atau repositori selain yang disertakan dalam basis kode perusahaan Anda.