Claude Security — это встроенная в Claude функция, которая сканирует кодовые базы на предмет уязвимостей безопасности и предлагает целевые исправления для проверки человеком. Она помогает командам находить и устранять проблемы, которые традиционные методы часто пропускают.
Claude Security теперь находится в исследовательском предпросмотре.
Claude Security позволяет вам:
Сканировать код параллельно — Claude Security понимает контекст, отслеживает потоки данных между файлами и выявляет сложные многокомпонентные паттерны уязвимостей, которые традиционные сканеры могут не обнаружить.
Проверять результаты — Каждый результат проходит многоэтапную проверку, при которой Claude проверяет собственные результаты перед их представлением. Результат: больше реальных проблем и меньше ложных срабатываний.
Проверить и исправить — Перейдите непосредственно от результата в сеанс Claude Code для проверки предложенного исправления. Устраняйте уязвимости быстро вместо накопления очереди.
Чтобы начать работу, см. руководство по началу работы.
Типы результатов
Каждый результат относится к одной из категорий ниже.
Категории
Область | Категория | Что это такое |
Инъекция | SQL-инъекция | Недоверенный ввод изменяет структуру запроса, а не только связанные значения |
Инъекция | Инъекция команд | Недоверенный ввод достигает вызова shell или exec |
Инъекция | Инъекция кода | Ввод злоумышленника анализируется или выполняется как код |
Инъекция | Межсайтовый скриптинг (XSS) | Ввод отображается в HTML/JS без надлежащего экранирования |
Инъекция | XXE | Парсер XML разрешает внешние сущности из недоверенного ввода |
Инъекция | ReDoS / сложность алгоритма | Суперлинейное регулярное выражение или алгоритм на контролируемом злоумышленником вводе |
Путь и сеть | Обход пути | Ввод пользователя выходит за пределы предполагаемой границы файловой системы |
Путь и сеть | SSRF | Ввод пользователя контролирует хост или протокол запроса |
Путь и сеть | Открытое перенаправление | Контролируемый пользователем URL достигает перенаправления без списка разрешений |
Аутентификация и доступ | Обход аутентификации | Доступный путь кода пропускает проверку аутентификации |
Аутентификация и доступ | Повышение привилегий | Обычный пользователь получает возможность только для администратора |
Аутентификация и доступ | IDOR / BOLA | Ссылка на объект доверена клиентом без проверки владения |
Аутентификация и доступ | CSRF | Запрос, изменяющий состояние, принимает кросс-доменные триггеры без защиты |
Аутентификация и доступ | Состояние гонки | TOCTOU или одновременный доступ нарушает инвариант безопасности |
Безопасность памяти | Переполнение буфера | Данные размером с входные данные записаны в контейнер независимого размера |
Безопасность памяти | Использование после освобождения | Освобожденная память доступна через живой указатель |
Безопасность памяти | Переполнение целого числа | Арифметика над недоверенными входными данными переходит за проверку безопасности |
Безопасность памяти | Небезопасная корректность |
|
Криптография | Атака по времени | Сравнение или ветвление, зависящее от секрета, наблюдаемое злоумышленником |
Криптография | Путаница алгоритмов | Неправильное использование примитивов (например, JWT |
Криптография | Слабые примитивы | MD5, SHA-1, DES, ECB и т. д., используемые в контексте безопасности |
Десериализация | Произвольное создание экземпляра типа | Данные, контролируемые злоумышленником, управляют конструкцией объекта |
Протокол и кодирование | Безопасность кеша | Кеш ключирован без всех входных данных, определяющих полномочия |
Протокол и кодирование | Путаница кодирования | Парсеры расходятся между слоями (Unicode, URL, HTML) |
Протокол и кодирование | Доверие к префиксу длины | Объявленная длина доверена без проверки границ |
Уровни серьезности
Уровень серьезности назначается для каждого обнаружения на основе эксплуатируемости в вашей кодовой базе, а не самой категории, поэтому одна и та же категория может иметь разные уровни серьезности в разных репозиториях.
Уровень серьезности | Критерии | Типичный пример |
Высокий | Эксплуатируется неаутентифицированным удаленным злоумышленником против развертывания по умолчанию без значимых предусловий | Неаутентифицированное внедрение команд в общедоступной конечной точке API |
Средний | Эксплуатируется за аутентификацией или требует 1-2 реалистичных предусловия (определенная роль, известный идентификатор, взаимодействие пользователя) | SQL-инъекция за аутентификацией, требующая знания схемы таблиц |
Низкий | Требует 3+ предусловий, локального доступа или отсутствия конкретного продемонстрированного пути атаки | Атака по времени, требующая сетевой близости и тысяч запросов |
Структура результатов
Каждый результат сканирования включает следующие поля:
Поле | Тип | Описание |
| строка | Описывает проблему |
| строка | Возможности злоумышленника |
| строка | Путь относительно репозитория к основному уязвимому исходному файлу |
| целое число | Основная строка, где возникает проблема |
| строка | Полное техническое описание уязвимости, потока данных и причин её эксплуатируемости |
| строка | Конкретный сквозной сценарий эксплуатации, связывающий конкретный ввод с конкретным воздействием |
| string[] | Каждое условие, которое должно выполняться для успешной эксплуатации. Пустой список означает, что проблема эксплуатируется при любом развёртывании по умолчанию. |
| строка | Категория атаки, например |
| перечисление |
|
| число с плавающей точкой | 0.0–1.0, отражает уверенность в результате |
| строка | Исправление на основе результата |
Часто задаваемые вопросы
Выбор модели — Доступ к Mythos ограничен небольшим набором одобренных клиентов.
Длительность сканирования — Время сканирования зависит от репозитория и действий агента.
Конфигурация серьёзности — Серьёзность сегодня не настраивается.
Репозитории не на GitHub — Сегодня можно сканировать только репозитории, размещённые на GitHub.
Детерминизм сканирования — Сканирования недетерминированы, поэтому реальная проблема может не появиться при каждом сканировании. Новые результаты отмечены как «новые» в консоли.
Область использования
Вы можете использовать Claude Security только для сканирования кода, принадлежащего вашей компании и на который ваша компания имеет все необходимые права для сканирования. Вы не можете использовать Claude Security для сканирования кода, принадлежащего третьим сторонам или лицензированного от них, включая, но не ограничиваясь, проекты с открытым исходным кодом или репозитории, не входящие в кодовую базу вашей компании.