概要
Claude Securityは、Claude.aiに組み込まれた機能で、コードベースをスキャンしてセキュリティ脆弱性を検出し、人間のレビュー用にターゲット化されたパッチを提案します。従来の方法では見落とされることが多い問題をチームが見つけて修正するのに役立ちます。
Claude Securityは現在、Max、Team、およびEnterpriseプランのユーザー向けにパブリックベータで利用可能です。
Claude Securityを使用すると、以下のことができます:
コードを並列でスキャン — Claude Securityはコンテキストを理解し、ファイル全体のデータフローをトレースし、従来のスキャナーでは検出できない複雑なマルチコンポーネント脆弱性パターンを特定します。
検出結果を検証 — すべての検出結果は多段階の検証を経て、Claude自身の結果に異議を唱えてから表示します。結果として、より多くの実際の問題が報告され、誤検知が減少します。
レビューとパッチ — 検出結果からシームレスにClaude Codeセッションに移動して、提案された修正をレビューします。脆弱性を迅速に解決し、バックログを増やさないようにします。
開始方法と主要企業がこのツールをどのように使用しているかについては、こちらをご覧ください:Claude Securityの開始。
検出タイプ
検出は以下の例のカテゴリに分類されます。
インジェクション(SQL、コマンド、コード、XSS): 信頼できない入力がクエリ構造を変更するか、実行されます。例:' OR 1=1--、; rm -rf /、<script>コメント内。
インジェクション(XXE、ReDoS): パーサーまたは正規表現が細工された入力によって悪用されます。例:XML <!ENTITY> /etc/passwdを読み取ります。
パスとネットワーク(パストラバーサル、SSRF、オープンリダイレクト): 入力がファイルパス、リクエスト宛先、またはリダイレクトを制御します。例:../../etc/passwd、http://169.254.169.254/をフェッチします。
認証とアクセス(認証バイパス、権限昇格、IDOR/BOLA、CSRF、レース): アクセスチェックが欠落、スキップ可能、またはレース状態です。例:GET /orders/123は他のユーザーの注文を返します。
メモリ安全性(バッファ/整数オーバーフロー、UAF、安全でない誤用): 入力が境界を超えて書き込まれ、算術がラップされ、または解放されたメモリにヒットします。主にC/C++/Rust unsafe。
暗号化(タイミングリーク、アルゴリズム混乱、弱いプリミティブ): シークレット依存ブランチ、JWT alg=none、またはセキュリティパスのMD5/SHA-1/DES/ECB。
逆シリアル化(任意の型のインスタンス化): 信頼できないバイトがオブジェクト構築を駆動します — pickle、Java readObject、YAML load。多くの場合、RCEに相当します。
プロトコルとエンコーディング(キャッシュ安全性、エンコーディング混乱、長さプレフィックス信頼): レイヤーが不一致であるか、宣言されたサイズを信頼します。例:ホストヘッダーを介したキャッシュポイズニング。
重大度
重大度は、カテゴリ自体ではなく、コードベース内の悪用可能性に基づいて検出結果ごとに割り当てられます。そのため、同じカテゴリが異なるリポジトリで異なる重大度に分類される場合があります。
重大度 | 基準 | 典型的な例 |
高 | 認証されていないリモート攻撃者がデフォルトデプロイメントに対して悪用可能で、意味のある前提条件がない | パブリックAPIエンドポイントでの認証されていないコマンドインジェクション |
中 | 認証の背後で悪用可能、または1~2の現実的な前提条件が必要(特定のロール、既知の識別子、ユーザーインタラクション) | テーブルスキーマの知識が必要な認証の背後でのSQLインジェクション |
低 | 3つ以上の前提条件、ローカルのみのアクセス、または具体的に実証された攻撃パスがない | ネットワーク近接性と数千のリクエストが必要なタイミングサイドチャネル |
検出構造
各検出には以下のフィールドが含まれます:
タイトル — 検出の簡潔な説明的な名前
詳細 — 検出が何であるか、およびそれが重要である理由の説明
場所 — ファイルパスと行番号、ソースにリンク
影響 — これに対処しない場合に何が起こる可能性があるか
再現手順 — 問題を再現または観察するための順序付きステップのリスト
推奨される修正 — それを解決する方法に関するガイダンス
重大度 — 高/中/低
ステータス — オープン/却下/解決
カテゴリ — 検出タイプ
リポジトリ — リポジトリ識別子
ブランチ — 検出が生成されたブランチ名
作成日 — 検出が作成された日付
検出が却下された場合のみ表示:
却下理由
却下メモ — オプション
よくある質問
スキャン時間 — スキャン時間はリポジトリとエージェントのアクションに基づいて異なります。
重大度設定 — 現在のところ、重大度は設定できません。
非GitHubリポジトリ — 現在、GitHubでホストされているリポジトリのみをスキャンできます。
ゼロデータ保持なし(ZDRなし) — Anthropicは、法律で必要な場合またはUsage Policy違反に対処するために、データを保持する場合があります。
スキャン一貫性 — スキャンは設計上確率的です。従来の静的アナライザーとは異なり、Claude Securityは各実行に適応するエージェントを使用し、固定パターンマッチを適用するのではなく、コードコンテキストについて推論します。これにより、ロジックレベルの脆弱性をキャッチするために必要な分析の深さが可能になります。
検出結果のエクスポート — 検出結果をコピーしたり、CSVまたはMarkdownとしてダウンロードしたり、プロジェクトごとのWebhookを介して独自の追跡および通知システムにプッシュしたりできます。「開始ガイド」を参照してください。
フィードバック — 右側のインプロダクトフィードバックアイコンを使用してフィードバックを共有してください。
GitHubのIPアドレス — IPアドレスホワイトリストの場合は、次のAnthropicガイドを使用してください:IPアドレス。
使用範囲: Claude Securityは、あなたまたはあなたの会社が所有し、スキャンするために必要なすべての権利を保有するコードのスキャンにのみ使用します。オープンソースプロジェクトやあなたの会社のコードベース(複数)に含まれていないリポジトリを含む、第三者が所有または所有するコードをスキャンするためにClaude Securityを使用することはありません。