Claude Code 現已包含自動化安全審查功能,幫助您識別和修復代碼中的漏洞。本指南說明如何使用 /security-review 命令和 GitHub Actions 來改進您的代碼安全性。
注意:雖然自動化安全審查有助於識別許多常見漏洞,但它應該補充而非替代您現有的安全實踐和手動代碼審查。
概述
Claude Code 中的自動化安全審查幫助開發人員在漏洞進入生產環境之前捕獲它們。這些功能檢查常見的安全問題,包括 SQL 注入風險、跨站點指令碼 (XSS) 漏洞、身份驗證缺陷、不安全的數據處理和依賴項漏洞。
您可以通過兩種方式使用安全審查:通過終端中的 /security-review 命令進行按需檢查,或通過 GitHub Actions 進行拉取請求的自動審查。
可用性
這些功能適用於所有 Claude Code 用戶,包括:
使用個人付費計劃(Pro 或 Max)的用戶。
具有按使用量付費 API 控制台帳戶的個人用戶或企業。
使用 /security-review 命令
/security-review 命令允許您在提交代碼前直接從終端運行安全分析。
運行安全審查
要檢查代碼中的漏洞:
在您的項目目錄中打開 Claude Code。
在終端中運行 /security-review。
Claude 將分析您的代碼庫並識別潛在的安全問題。
查看為發現的每個問題提供的詳細說明。
實施修復
在 Claude 識別漏洞後,您可以要求它直接實施修復。這使安全審查集成到您的開發工作流中,允許您在最容易解決問題時解決它們。
自訂命令
您可以根據特定需求自訂 /security-review 命令。有關配置選項,請參閱安全審查文檔。
設置 GitHub Actions 進行自動化 PR 審查
安裝並配置 GitHub 操作後,它將在打開拉取請求時自動審查每個拉取請求中的安全漏洞。
安裝
要為您的存儲庫設置自動化安全審查:
導航到您的存儲庫的 GitHub Actions 設置
按照我們文檔中的分步安裝指南進行操作
根據您的團隊安全要求配置操作
工作原理
配置後,GitHub 操作將:
在打開新拉取請求時自動觸發。
審查代碼更改中的安全漏洞。
應用可自訂的篩選規則以減少誤報。
在 PR 上發佈內聯評論,說明已識別的問題和建議的修復。
這在整個團隊中創建了一致的安全審查流程,確保在合併前檢查代碼中的漏洞。
自訂選項
您可以自訂 GitHub 操作以符合您的團隊安全政策,包括為您的代碼庫設置特定規則和調整不同漏洞類型的敏感度級別。
可以檢測哪些安全問題?
/security-review 命令和 GitHub 操作都檢查常見的漏洞模式:
SQL 注入風險:識別潛在的數據庫查詢漏洞。
跨站點指令碼 (XSS):檢測客戶端指令碼注入漏洞。
身份驗證和授權缺陷:查找訪問控制問題。
不安全的數據處理:識別數據驗證和清理問題。
依賴項漏洞:檢查第三方軟件包中的已知問題。
入門
要開始使用自動化安全審查:
對於 /security-review 命令:將 Claude Code 更新到最新版本(運行),然後在您的項目目錄中運行
/security-review。Claude Code 會自動保持最新狀態以確保您擁有最新的功能和安全修復,但您也可以運行
claude update手動更新。
對於 GitHub 操作:訪問我們的文檔以獲取安裝和配置說明。
最佳實踐
為了獲得最佳結果,我們建議在提交重大更改前運行 /security-review,並為所有包含生產代