Обзор
Claude Security — это функция, встроенная в Claude.ai, которая сканирует кодовые базы на предмет уязвимостей безопасности и предлагает целевые исправления для проверки человеком. Она помогает командам находить и исправлять проблемы, которые традиционные методы часто пропускают. Узнайте больше о Claude Security.
Claude Security теперь доступна в открытой бета-версии для пользователей планов Enterprise.
Claude Security позволяет вам:
Сканировать ваш код параллельно — Claude Security понимает контекст, отслеживает потоки данных между файлами и выявляет сложные многокомпонентные паттерны уязвимостей, которые традиционные сканеры могут не обнаружить.
Проверять результаты — Каждый результат проходит многоэтапную проверку, при которой Claude проверяет собственные результаты перед их представлением. Результат: больше реальных проблем и меньше ложных срабатываний.
Проверять и исправлять — Легко переходите от результата в сеанс Claude Code для проверки предложенного исправления. Решайте уязвимости быстро вместо накопления очереди.
Узнайте, как начать работу и как ведущие предприятия используют этот инструмент здесь: Начало работы с Claude Security.
Типы результатов
Результаты попадают в следующие примеры категорий.
Инъекция (SQL, команда, код, XSS): Недоверенный ввод изменяет структуру запроса или выполняется. Например, ' OR 1=1--, ; rm -rf /, <script> в комментарии.
Инъекция (XXE, ReDoS): Парсеры или регулярные выражения используются неправильно из-за специально подготовленного ввода. Например, XML <!ENTITY> для чтения /etc/passwd.
Путь и сеть (обход пути, SSRF, открытое перенаправление): Ввод контролирует пути файлов, направления запросов или перенаправления. Например, ../../etc/passwd, получение http://169.254.169.254/.
Аутентификация и доступ (обход аутентификации, повышение привилегий, IDOR/BOLA, CSRF, гонка): Проверки доступа отсутствуют, могут быть пропущены или подвержены состояниям гонки. Например, GET /orders/123 возвращает заказ другого человека.
Безопасность памяти (переполнение буфера/целого числа, использование после освобождения, небезопасное использование): Ввод записывает за границы, переполняет арифметику или обращается к освобожденной памяти. В основном C/C++/Rust unsafe.
Криптография (утечки времени, путаница алгоритмов, слабые примитивы): Ветви, зависящие от секрета, JWT alg=none или MD5/SHA-1/DES/ECB в путях безопасности.
Десериализация (произвольное создание экземпляра типа): Недоверенные байты управляют конструкцией объекта — pickle, Java readObject, YAML load. Часто равно RCE.
Протокол и кодирование (безопасность кэша, путаница кодирования, доверие к префиксам длины): Слои не согласны или доверяют объявленным размерам. Например, отравление кэша через заголовок Host.
Уровни серьезности
Уровень серьезности назначается для каждого результата на основе возможности эксплуатации в вашей кодовой базе, а не самой категории — поэтому одна и та же категория может иметь разные уровни серьезности в разных репозиториях.
Уровень серьезности | Критерии | Типичный пример |
Высокий | Может быть использована неаутентифицированным удаленным злоумышленником против развертывания по умолчанию без значимых предусловий | Неаутентифицированная инъекция команд в общедоступной конечной точке API |
Средний | Может быть использована за аутентификацией или требует 1–2 реалистичных предусловия (определенная роль, известный идентификатор, взаимодействие пользователя) | SQL-инъекция за аутентификацией, требующая знания схемы таблицы |
Низкий | Требует 3+ предусловия, локальный доступ или отсутствует конкретный продемонстрированный путь атаки | Временной побочный канал, требующий сетевой близости и тысяч запросов |
Структура результата
Каждый результат содержит следующие поля:
Название — краткое описательное имя результата
Детали — описание того, что представляет собой результат и почему это важно
Местоположение — путь файла и номер строки, связанные с источником
Влияние — что может пойти не так, если это не будет решено
Шаги воспроизведения — упорядоченный список шагов для воспроизведения или наблюдения проблемы
Рекомендуемое исправление — рекомендации по его разрешению
Уровень серьезности — ВЫСОКИЙ / СРЕДНИЙ / НИЗКИЙ
Статус — Открыто / Отклонено / Решено
Категория — тип результата
Репозиторий — идентификатор репозитория
Ветвь — имя ветви, для которой был получен результат
Дата создания — дата создания результата
Отображается только если результат был отклонен:
Причина отклонения
Примечание об отклонении — необязательно
Часто задаваемые вопросы
Цена продукта и стоимость — Сканирование взимается только по прямой стоимости токенов. Нет дополнительной платы за платформу для Claude Security.
Длительность сканирования — Время сканирования варьируется в зависимости от репозитория и действий агента.
Конфигурация уровня серьезности — на сегодняшний день уровень серьезности не настраивается.
Репозитории, не размещенные на GitHub — На сегодняшний день можно сканировать только репозитории, размещенные на GitHub.
Без нулевого хранения данных (без ZDR) — Anthropic может сохранять данные, если это требуется по закону или для решения нарушений политики использования.
Согласованность сканирования — Сканирование является стохастическим по замыслу. В отличие от традиционных статических анализаторов, Claude Security использует агента, который адаптирует свой анализ к каждому запуску, рассуждая о контексте кода, а не применяя фиксированные совпадения паттернов. Это обеспечивает глубину анализа, необходимую для выявления уязвимостей на уровне логики.
Экспорт результатов — Вы можете копировать результаты, загружать их в виде CSV или Markdown или отправлять их в свои собственные системы отслеживания и уведомлений через вебхуки для каждого проекта. См. руководство «Начало работы».
Обратная связь — Поделитесь своей обратной связью, используя значок обратной связи в продукте справа.
IP-адреса для Github — Используйте следующее руководство Anthropic для IP-адресов в списке разрешений: IP-адреса.
Область использования: Вы будете использовать Claude Security только для сканирования кода, который вы или ваша компания владеете и на который вы или ваша компания имеете все необходимые права для сканирования. Вы не будете использовать Claude Security для сканирования кода, принадлежащего третьим сторонам или лицензированного от них, включая, но не ограничиваясь проектами с открытым исходным кодом или репозиториями, отличными от тех, которые включены в кодовую базу вашей компании.