Ir para conteúdo principal

Análises de Segurança Automatizadas no Claude Code

Atualizado hoje

Claude Code agora inclui recursos automatizados de revisão de segurança para ajudá-lo a identificar e corrigir vulnerabilidades no seu código. Este guia explica como usar o comando /security-review e GitHub Actions para melhorar a segurança do seu código.

Nota: Embora as revisões de segurança automatizadas ajudem a identificar muitas vulnerabilidades comuns, elas devem complementar, não substituir, suas práticas de segurança existentes e revisões de código manual.

Visão Geral

As revisões de segurança automatizadas no Claude Code ajudam os desenvolvedores a detectar vulnerabilidades antes que elas cheguem à produção. Esses recursos verificam problemas de segurança comuns, incluindo riscos de injeção SQL, vulnerabilidades de cross-site scripting (XSS), falhas de autenticação, manipulação insegura de dados e vulnerabilidades de dependência.

Você pode usar revisões de segurança de duas maneiras: através do comando /security-review para verificações sob demanda no seu terminal, ou através do GitHub Actions para revisão automática de pull requests.

Disponibilidade

Esses recursos estão disponíveis para todos os usuários do Claude Code, incluindo:

  • Usuários em planos pagos individuais (Pro ou Max).

  • Usuários individuais ou empresas com contas de API Console com pagamento conforme o uso.

Usando o comando /security-review

O comando /security-review permite que você execute análise de segurança diretamente do seu terminal antes de fazer commit do código.

Executando uma Revisão de Segurança

Para verificar seu código em busca de vulnerabilidades:

  1. Abra Claude Code no diretório do seu projeto.

  2. Execute /security-review no terminal.

  3. Claude analisará sua base de código e identificará possíveis problemas de segurança.

  4. Revise as explicações detalhadas fornecidas para cada problema encontrado.

Implementando Correções

Depois que Claude identifica vulnerabilidades, você pode pedir que ele implemente correções diretamente. Isso mantém as revisões de segurança integradas ao seu fluxo de trabalho de desenvolvimento, permitindo que você resolva problemas quando for mais fácil corrigi-los.

Personalizando o Comando

Você pode personalizar o comando /security-review para suas necessidades específicas. Consulte a documentação de revisão de segurança para opções de configuração.

Configurando GitHub Actions para revisões automatizadas de PR

Após instalar e configurar a ação do GitHub, ela revisará automaticamente cada pull request em busca de vulnerabilidades de segurança quando for aberto.

Instalação

Para configurar revisões de segurança automatizadas para seu repositório:

  1. Navegue até as configurações do GitHub Actions do seu repositório

  2. Siga o guia de instalação passo a passo em nossa documentação

  3. Configure a ação de acordo com os requisitos de segurança da sua equipe

Como Funciona

Uma vez configurada, a ação do GitHub:

  • É acionada automaticamente quando novos pull requests são abertos.

  • Revisa as alterações de código em busca de vulnerabilidades de segurança.

  • Aplica regras de filtragem personalizáveis para reduzir falsos positivos.

  • Publica comentários inline no PR com problemas identificados e correções recomendadas.

Isso cria um processo consistente de revisão de segurança em toda a sua equipe, garantindo que o código seja verificado em busca de vulnerabilidades antes de ser mesclado.

Opções de Personalização

Você pode personalizar a ação do GitHub para corresponder às políticas de segurança da sua equipe, incluindo a definição de regras específicas para sua base de código e o ajuste dos níveis de sensibilidade para diferentes tipos de vulnerabilidade.

Quais problemas de segurança podem ser detectados?

Tanto o comando /security-review quanto a ação do GitHub verificam padrões de vulnerabilidade comuns:

  • Riscos de injeção SQL: Identifica possíveis vulnerabilidades de consulta de banco de dados.

  • Cross-site scripting (XSS): Detecta vulnerabilidades de injeção de script do lado do cliente.

  • Falhas de autenticação e autorização: Encontra problemas com controle de acesso.

  • Manipulação insegura de dados: Identifica problemas com validação e sanitização de dados.

  • Vulnerabilidades de dependência: Verifica problemas conhecidos em pacotes de terceiros.

Começando

Para começar a usar revisões de segurança automatizadas:

  • Para o comando /security-review: Atualize Claude Code para a versão mais recente (execute), depois execute /security-review no diretório do seu projeto.

    • Claude Code se atualiza automaticamente para garantir que você tenha os recursos e correções de segurança mais recentes, mas você também pode executar claude update para atualizar manualmente.

  • Para as ações do GitHub: Visite nossa documentação para instruções de instalação e configuração.

Melhores Práticas

Para obter resultados ideais, recomendamos executar /security-review antes de fazer commit de alterações significativas e configurar a ação do GitHub para todos os repositórios contendo código de produção. Considere ajustar as regras de filtragem com base nos requisitos de segurança específicos da sua equipe e nas características da sua base de código.

Artigos relacionados
Usando Claude Code com seu plano Pro ou Max
Notas de Lançamento
Análise de Uso do Claude Code
Perguntas Frequentes sobre Claude Code
Claude Code na web
Isto respondeu à sua pergunta?