Обзор
Claude Security — это функция, встроенная в Claude.ai, которая сканирует кодовые базы на предмет уязвимостей безопасности и предлагает целевые исправления для проверки человеком. Она помогает командам находить и исправлять проблемы, которые традиционные методы часто пропускают.
Claude Security теперь доступна в открытой бета-версии для пользователей планов Max, Team и Enterprise.
Claude Security позволяет вам:
Сканировать код параллельно — Claude Security понимает контекст, отслеживает потоки данных между файлами и выявляет сложные многокомпонентные паттерны уязвимостей, которые традиционные сканеры могут не обнаружить.
Проверять результаты — Каждый результат проходит многоэтапную проверку, при которой Claude проверяет собственные результаты перед их представлением. Результат: больше реальных проблем и меньше ложных срабатываний.
Проверять и исправлять — Легко переходите от результата в сеанс Claude Code для проверки предложенного исправления. Решайте уязвимости быстро вместо накопления задач.
Узнайте, как начать работу и как ведущие предприятия используют этот инструмент здесь: Начало работы с Claude Security.
Типы результатов
Результаты попадают в следующие примеры категорий.
Инъекция (SQL, Command, Code, XSS): Недоверенный ввод изменяет структуру запроса или выполняется. Например, ' OR 1=1--, ; rm -rf /, <script> в комментарии.
Инъекция (XXE, ReDoS): Парсеры или регулярные выражения используются неправильно из-за специально подготовленного ввода. Например, XML <!ENTITY> для чтения /etc/passwd.
Путь и сеть (обход пути, SSRF, открытое перенаправление): Ввод контролирует пути к файлам, направления запросов или перенаправления. Например, ../../etc/passwd, получение http://169.254.169.254/.
Аутентификация и доступ (обход AuthN, повышение привилегий, IDOR/BOLA, CSRF, Race): Проверки доступа отсутствуют, могут быть пропущены или подвержены состояниям гонки. Например, GET /orders/123 возвращает заказ другого пользователя.
Безопасность памяти (переполнение буфера/целого числа, использование после освобождения, небезопасное использование): Ввод записывает за границы, переполняет арифметику или обращается к освобожденной памяти. В основном C/C++/Rust unsafe.
Криптография (утечки времени, путаница алгоритмов, слабые примитивы): Ветви, зависящие от секрета, JWT alg=none или MD5/SHA-1/DES/ECB в путях безопасности.
Десериализация (произвольное создание экземпляра типа): Недоверенные байты управляют конструкцией объекта — pickle, Java readObject, YAML load. Часто равно RCE.
Протокол и кодирование (безопасность кэша, путаница кодирования, доверие к префиксам длины): Слои не согласны или доверяют объявленным размерам. Например, отравление кэша через заголовок Host.
Уровни серьезности
Уровень серьезности назначается для каждого результата на основе возможности эксплуатации в вашей кодовой базе, а не самой категории — поэтому одна и та же категория может иметь разные уровни серьезности в разных репозиториях.
Уровень серьезности | Критерии | Типичный пример |
Высокий | Может быть использована неаутентифицированным удаленным злоумышленником против развертывания по умолчанию без значимых предусловий | Неаутентифицированная инъекция команд в общедоступной конечной точке API |
Средний | Может быть использована за аутентификацией или требует 1–2 реалистичных предусловия (определенная роль, известный идентификатор, взаимодействие пользователя) | SQL-инъекция за аутентификацией, требующая знания схемы таблицы |
Низкий | Требует 3+ предусловия, локальный доступ или отсутствует конкретный продемонстрированный путь атаки | Утечка информации по времени, требующая сетевой близости и тысяч запросов |
Структура результата
Каждый результат содержит следующие поля:
Название — краткое описательное имя результата
Детали — описание того, что представляет собой результат и почему это важно
Местоположение — путь к файлу и номер строки, связанные с источником
Влияние — что может пойти не так, если это не будет решено
Шаги воспроизведения — упорядоченный список шагов для воспроизведения или наблюдения проблемы
Рекомендуемое исправление — рекомендации по его разрешению
Уровень серьезности — ВЫСОКИЙ / СРЕДНИЙ / НИЗКИЙ
Статус — Открыто / Отклонено / Решено
Категория — тип результата
Репозиторий — идентификатор репозитория
Ветвь — имя ветви, для которой был получен результат
Дата создания — дата создания результата
Отображается только если результат был отклонен:
Причина отклонения
Примечание об отклонении — необязательно
Часто задаваемые вопросы
Длительность сканирования — время сканирования варьируется в зависимости от репозитория и действий агента.
Конфигурация уровня серьезности — на сегодняшний день уровень серьезности не настраивается.
Репозитории, не на GitHub — Сегодня можно сканировать только репозитории, размещенные на GitHub.
Без нулевого хранения данных (No ZDR) — Anthropic может сохранять данные, если это требуется законом или для решения нарушений политики использования.
Согласованность сканирования — сканирования являются стохастическими по замыслу. В отличие от традиционных статических анализаторов, Claude Security использует агента, который адаптирует свой анализ к каждому запуску, рассуждая о контексте кода, а не применяя фиксированные совпадения паттернов. Это обеспечивает глубину анализа, необходимую для выявления уязвимостей на уровне логики.
Экспорт результатов — вы можете копировать результаты, загружать их как CSV или Markdown или отправлять их в свои собственные системы отслеживания и уведомлений через вебхуки для каждого проекта. См. руководство «Начало работы».
Обратная связь — поделитесь своей обратной связью, используя значок обратной связи в продукте справа.
IP-адреса для Github — используйте следующее руководство Anthropic для IP-адресов в списке разрешений: IP-адреса.
Область использования: вы будете использовать Claude Security только для сканирования кода, которым вы или ваша компания владеете и на который у вас или вашей компании есть все необходимые права на сканирование. Вы не будете использовать Claude Security для сканирования кода, принадлежащего третьим сторонам или лицензированного от них, включая, но не ограничиваясь, проекты с открытым исходным кодом или репозитории, отличные от включенных в кодовую базу вашей компании.