개요
Claude Security는 Claude.ai에 내장된 기능으로, 코드베이스에서 보안 취약점을 스캔하고 인간 검토를 위한 대상 패치를 제안합니다. 기존 방법이 놓치기 쉬운 문제를 찾고 해결하는 데 도움이 됩니다.
Claude Security는 이제 Max, Team, Enterprise 플랜 사용자를 위해 공개 베타로 제공됩니다.
Claude Security를 사용하면 다음을 수행할 수 있습니다:
코드를 병렬로 스캔 — Claude Security는 컨텍스트를 이해하고, 파일 전체에서 데이터 흐름을 추적하며, 기존 스캐너가 감지하지 못할 수 있는 복잡한 다중 구성 요소 취약점 패턴을 식별합니다.
결과 검증 — 모든 결과는 다단계 검증을 거치며, Claude는 결과를 표시하기 전에 자신의 결과에 이의를 제기합니다. 결과: 더 많은 실제 문제가 보고되고 거짓 양성이 줄어듭니다.
검토 및 패치 — 결과에서 Claude Code 세션으로 원활하게 이동하여 제안된 수정 사항을 검토합니다. 백로그를 늘리는 대신 취약점을 빠르게 해결합니다.
시작하는 방법과 주요 기업이 이 도구를 어떻게 사용하는지 알아보기: Claude Security 시작하기.
결과 유형
결과는 아래의 이러한 예시 범주에 해당합니다.
주입 (SQL, 명령, 코드, XSS): 신뢰할 수 없는 입력이 쿼리 구조를 변경하거나 실행됩니다. 예: ' OR 1=1--, ; rm -rf /, <script> 주석에서.
주입 (XXE, ReDoS): 파서 또는 정규식이 조작된 입력으로 악용됩니다. 예: XML <!ENTITY> /etc/passwd 읽기.
경로 및 네트워크 (경로 순회, SSRF, 오픈 리다이렉트): 입력이 파일 경로, 요청 대상 또는 리다이렉트를 제어합니다. 예: ../../etc/passwd, http://169.254.169.254/ 가져오기.
인증 및 접근 (AuthN 우회, PrivEsc, IDOR/BOLA, CSRF, Race): 접근 확인이 누락되거나 건너뛸 수 있거나 경합니다. 예: GET /orders/123이 다른 사람의 주문을 반환합니다.
메모리 안전 (버퍼/정수 오버플로우, UAF, 안전하지 않은 오용): 입력이 경계를 넘어 쓰거나, 산술을 래핑하거나, 해제된 메모리에 도달합니다. 주로 C/C++/Rust 안전하지 않음.
암호화 (타이밍 누수, 알고리즘 혼동, 약한 기본 요소): 비밀 종속 분기, JWT alg=none 또는 보안 경로의 MD5/SHA-1/DES/ECB.
역직렬화 (임의 유형 인스턴스화): 신뢰할 수 없는 바이트가 객체 구성을 구동합니다 — pickle, Java readObject, YAML load. 종종 RCE와 같습니다.
프로토콜 및 인코딩 (캐시 안전, 인코딩 혼동, 길이 접두사 신뢰): 계층이 불일치하거나 선언된 크기를 신뢰합니다. 예: Host 헤더를 통한 캐시 중독.
심각도
심각도는 범주 자체가 아니라 코드베이스의 악용 가능성에 따라 결과별로 할당됩니다. 따라서 동일한 범주가 다른 저장소에서 다른 심각도로 나타날 수 있습니다.
심각도 | 기준 | 일반적인 예 |
높음 | 기본 배포에 대해 인증되지 않은 원격 공격자가 의미 있는 전제 조건 없이 악용할 수 있음 | 공개 API 엔드포인트의 인증되지 않은 명령 주입 |
중간 | 인증 뒤에서 악용 가능하거나 1-2개의 현실적인 전제 조건이 필요함 (특정 역할, 알려진 식별자, 사용자 상호 작용) | 테이블 스키마 지식이 필요한 인증 뒤의 SQL 주입 |
낮음 | 3개 이상의 전제 조건, 로컬 전용 접근 또는 구체적인 입증된 공격 경로 부족 | 네트워크 근접성과 수천 개의 요청이 필요한 타이밍 사이드 채널 |
결과 구조
각 결과에는 다음 필드가 포함됩니다:
제목 — 결과의 짧은 설명 이름
세부 정보 — 결과가 무엇이고 왜 중요한지에 대한 설명
위치 — 파일 경로 및 줄 번호, 소스에 연결됨
영향 — 이를 해결하지 않으면 어떤 일이 발생할 수 있는지
재현 단계 — 문제를 재현하거나 관찰하기 위한 순서 있는 단계 목록
권장 수정 — 해결 방법에 대한 지침
심각도 — 높음 / 중간 / 낮음
상태 — 열림 / 해제됨 / 해결됨
범주 — 결과 유형
저장소 — 저장소 식별자
분기 — 결과가 생성된 분기 이름
생성 날짜 — 결과가 생성된 날짜
결과가 해제된 경우에만 표시됨:
해제 이유
해제 참고 — 선택 사항
자주 묻는 질문
스캔 길이 — 스캔 시간은 저장소와 에이전트의 작업에 따라 다릅니다.
심각도 구성 — 현재로서는 심각도를 구성할 수 없습니다.
GitHub가 아닌 저장소 — 현재 GitHub에서 호스팅되는 저장소만 스캔할 수 있습니다.
데이터 보존 없음 (No ZDR) — Anthropic은 법률에 따라 필요하거나 사용 정책 위반을 해결하기 위해 데이터를 보유할 수 있습니다.
스캔 일관성 — 스캔은 설계상 확률적입니다. 기존 정적 분석기와 달리 Claude Security는 고정 패턴 일치를 적용하는 대신 코드 컨텍스트에 대해 추론하면서 각 실행에 분석을 조정하는 에이전트를 사용합니다. 이를 통해 논리 수준의 취약점을 포착하는 데 필요한 분석 깊이를 제공합니다.
결과 내보내기 — 결과를 복사하거나 CSV 또는 Markdown으로 다운로드하거나 프로젝트별 웹훅을 통해 자신의 추적 및 알림 시스템으로 푸시할 수 있습니다. "시작하기" 가이드를 참조하세요.
피드백 — 오른쪽의 제품 내 피드백 아이콘을 사용하여 피드백을 공유하세요.
Github용 IP 주소 — IP 주소 허용 목록에 다음 Anthropic 가이드를 사용하세요: IP 주소.
사용 범위: Claude Security는 귀사가 소유한 코드를 스캔하고 스캔할 필요한 모든 권리를 보유한 코드만 스캔하는 데 사용합니다. Claude Security를 타사가 소유하거나 라이선스한 코드(오픈 소스 프로젝트 또는 귀사의 코드베이스에 포함되지 않은 저장소 포함)를 스캔하는 데 사용하지 않습니다.