Panoramica
Claude Security è una funzionalità integrata in Claude.ai che analizza le basi di codice alla ricerca di vulnerabilità di sicurezza e suggerisce patch mirate per la revisione umana. Aiuta i team a trovare e risolvere i problemi che i metodi tradizionali spesso non rilevano.
Claude Security è ora disponibile in beta pubblica per gli utenti con piani Max, Team ed Enterprise.
Claude Security ti consente di:
Analizzare il tuo codice in parallelo — Claude Security comprende il contesto, traccia i flussi di dati tra i file e identifica modelli di vulnerabilità complessi e multi-componente che gli scanner tradizionali potrebbero non rilevare.
Convalidare i risultati — Ogni risultato passa attraverso una verifica multi-fase, con Claude che mette in discussione i propri risultati prima di presentarli. Il risultato: più problemi reali segnalati e meno falsi positivi.
Rivedere e correggere — Passa facilmente da un risultato a una sessione Claude Code per rivedere la correzione proposta. Risolvi le vulnerabilità rapidamente invece di accumulare un backlog.
Scopri come iniziare e come le principali aziende utilizzano lo strumento qui: Guida introduttiva a Claude Security.
Tipi di risultati
I risultati rientrano in queste categorie di esempio di seguito.
Injection (SQL, Command, Code, XSS): L'input non attendibile modifica la struttura della query o viene eseguito. Ad es., ' OR 1=1--, ; rm -rf /, <script> in un commento.
Injection (XXE, ReDoS): Parser o regex abusati da input creati. Ad es., XML <!ENTITY> che legge /etc/passwd.
Path & Network (Path traversal, SSRF, Open redirect): L'input controlla i percorsi dei file, le destinazioni delle richieste o i reindirizzamenti. Ad es., ../../etc/passwd, recupero di http://169.254.169.254/.
Auth & Access (AuthN bypass, PrivEsc, IDOR/BOLA, CSRF, Race): Controlli di accesso mancanti, saltabili o soggetti a race condition. Ad es., GET /orders/123 restituisce l'ordine di qualcun altro.
Memory Safety (Buffer/integer overflow, UAF, unsafe misuse): L'input scrive oltre i limiti, esegue il wrapping dell'aritmetica o accede a memoria liberata. Principalmente C/C++/Rust unsafe.
Cryptography (Timing leaks, algorithm confusion, weak primitives): Rami dipendenti da segreti, JWT alg=none, o MD5/SHA-1/DES/ECB in percorsi di sicurezza.
Deserialization (Arbitrary type instantiation): Byte non attendibili guidano la costruzione di oggetti — pickle, Java readObject, YAML load. Spesso equivale a RCE.
Protocol & Encoding (Cache safety, encoding confusion, length-prefix trust): I livelli non concordano o si fidano delle dimensioni dichiarate. Ad es., cache poisoning tramite intestazione Host.
Gravità
La gravità viene assegnata per ogni risultato in base alla sfruttabilità nella tua base di codice, non alla categoria stessa, quindi la stessa categoria può avere gravità diverse in repository diversi.
Gravità | Criteri | Esempio tipico |
Alta | Sfruttabile da un attaccante remoto non autenticato contro una distribuzione predefinita, senza precondizioni significative | Iniezione di comandi non autenticata in un endpoint API pubblico |
Media | Sfruttabile dietro autenticazione, o richiede 1-2 precondizioni realistiche (ruolo specifico, identificatore noto, interazione dell'utente) | Iniezione SQL dietro autenticazione che richiede la conoscenza dello schema della tabella |
Bassa | Richiede 3+ precondizioni, accesso solo locale, o manca di un percorso di attacco concreto e dimostrato | Side-channel temporale che richiede prossimità di rete e migliaia di richieste |
Struttura del risultato
Ogni risultato contiene i seguenti campi:
Titolo — nome descrittivo breve del risultato
Dettagli — descrizione di cosa sia il risultato e perché sia importante
Posizione — percorso del file e numero di riga, collegato alla fonte
Impatto — cosa potrebbe andare male se non viene affrontato
Passaggi di riproduzione — elenco ordinato di passaggi per riprodurre o osservare il problema
Correzione consigliata — guida su come risolverlo
Gravità — ALTA / MEDIA / BASSA
Stato — Aperto / Scartato / Risolto
Categoria — tipo di risultato
Repository — identificatore del repository
Ramo — nome del ramo su cui è stato prodotto il risultato
Data di creazione — data di creazione del risultato
Mostrato solo se il risultato è stato scartato:
Motivo dello scarto
Nota di scarto — facoltativa
Domande frequenti
Durata della scansione — Il tempo di scansione varia in base al repository e alle azioni dell'agente.
Configurazione della gravità — ad oggi, la gravità non è configurabile.
Repository non GitHub — Solo i repository ospitati su GitHub possono essere scansionati oggi.
Nessuna conservazione dati zero (No ZDR) — Anthropic può conservare i dati ove richiesto dalla legge o per affrontare violazioni della Politica di utilizzo.
Coerenza della scansione — Le scansioni sono stocastiche per progettazione. A differenza degli analizzatori statici tradizionali, Claude Security utilizza un agente che adatta la sua analisi a ogni esecuzione, ragionando sul contesto del codice piuttosto che applicare corrispondenze di pattern fisse. Ciò consente la profondità di analisi necessaria per rilevare vulnerabilità a livello di logica.
Esportazione dei risultati — Puoi copiare i risultati, scaricarli come CSV o Markdown, o inviarli ai tuoi sistemi di tracciamento e notifica tramite webhook per progetto. Consulta la guida "Guida introduttiva".
Feedback — Condividi il tuo feedback utilizzando l'icona di feedback nel prodotto sulla destra.
Indirizzi IP per Github — Utilizza la seguente guida Anthropic per gli indirizzi IP da inserire nella whitelist: Indirizzi IP.
Ambito di utilizzo: Utilizzerai Claude Security solo per scansionare il codice di tua proprietà o della tua azienda e per il quale tu o la tua azienda detieni tutti i diritti necessari per scansionare. Non utilizzerai Claude Security per scansionare il codice di proprietà di o concesso in licenza da terze parti, inclusi ma non limitati a progetti open source o repository diversi da quelli inclusi nella base di codice della tua azienda.