Claude Code는 이제 자동화된 보안 검토 기능을 포함하고 있어 코드의 취약점을 식별하고 수정하는 데 도움을 줍니다. 이 가이드는 /security-review 명령어와 GitHub Actions를 사용하여 코드 보안을 개선하는 방법을 설명합니다.
참고: 자동화된 보안 검토는 많은 일반적인 취약점을 식별하는 데 도움이 되지만, 기존 보안 관행 및 수동 코드 검토를 대체하지 않고 보완해야 합니다.
개요
Claude Code의 자동화된 보안 검토는 개발자가 취약점이 프로덕션에 도달하기 전에 발견하도록 도와줍니다. 이러한 기능은 SQL 주입 위험, 크로스사이트 스크립팅(XSS) 취약점, 인증 결함, 안전하지 않은 데이터 처리 및 종속성 취약점을 포함한 일반적인 보안 문제를 확인합니다.
보안 검토는 두 가지 방법으로 사용할 수 있습니다: 터미널에서 온디맨드 검사를 위한 /security-review 명령어 또는 풀 요청의 자동 검토를 위한 GitHub Actions를 통해 사용할 수 있습니다.
이용 가능성
이러한 기능은 다음을 포함한 모든 Claude Code 사용자가 사용할 수 있습니다:
개별 유료 요금제(Pro 또는 Max)의 사용자.
종량제 API Console 계정을 가진 개별 사용자 또는 엔터프라이즈.
/security-review 명령어 사용
/security-review 명령어를 사용하면 코드를 커밋하기 전에 터미널에서 직접 보안 분석을 실행할 수 있습니다.
보안 검토 실행
코드의 취약점을 확인하려면:
프로젝트 디렉토리에서 Claude Code를 엽니다.
터미널에서 /security-review를 실행합니다.
Claude가 코드베이스를 분석하고 잠재적인 보안 문제를 식별합니다.
발견된 각 문제에 대해 제공된 자세한 설명을 검토합니다.
수정 구현
Claude가 취약점을 식별한 후 직접 수정을 구현하도록 요청할 수 있습니다. 이는 보안 검토를 개발 워크플로우에 통합하여 문제를 해결하기 가장 쉬울 때 해결할 수 있게 합니다.
명령어 사용자 정의
특정 요구사항에 맞게 /security-review 명령어를 사용자 정의할 수 있습니다. 구성 옵션은 보안 검토 설명서를 참조하세요.
자동화된 PR 검토를 위한 GitHub Actions 설정
GitHub 작업을 설치하고 구성한 후, 풀 요청이 열릴 때마다 자동으로 보안 취약점을 검토합니다.
설치
저장소에 대한 자동화된 보안 검토를 설정하려면:
저장소의 GitHub Actions 설정으로 이동합니다.
설명서의 단계별 설치 가이드를 따릅니다.
팀의 보안 요구사항에 따라 작업을 구성합니다.
작동 방식
구성되면 GitHub 작업은:
새 풀 요청이 열릴 때 자동으로 트리거됩니다.
보안 취약점에 대한 코드 변경사항을 검토합니다.
거짓 양성을 줄이기 위해 사용자 정의 가능한 필터링 규칙을 적용합니다.
식별된 문제 및 권장 수정사항과 함께 PR에 인라인 댓글을 게시합니다.
이는 전체 팀에 걸쳐 일관된 보안 검토 프로세스를 만들어 병합 전에 코드가 취약점에 대해 확인되도록 합니다.
사용자 정의 옵션
팀의 보안 정책과 일치하도록 GitHub 작업을 사용자 정의할 수 있으며, 코드베이스에 대한 특정 규칙을 설정하고 다양한 취약점 유형에 대한 민감도 수준을 조정할 수 있습니다.
어떤 보안 문제를 감지할 수 있나요?
/security-review 명령어와 GitHub 작업 모두 일반적인 취약점 패턴을 확인합니다:
SQL 주입 위험: 잠재적인 데이터베이스 쿼리 취약점을 식별합니다.
크로스사이트 스크립팅(XSS): 클라이언트 측 스크립트 주입 취약점을 감지합니다.
인증 및 권한 부여 결함: 접근 제어 문제를 찾습니다.
안