Tự động hóa các đánh giá bảo mật với Claude Code
- 4 min read
Tự động hóa các đánh giá bảo mật với Claude Code
Hôm nay, chúng tôi giới thiệu các đánh giá bảo mật tự động trong Claude Code. Sử dụng tích hợp GitHub Actions của chúng tôi và lệnh /security-review mới, các nhà phát triển có thể dễ dàng yêu cầu Claude xác định các mối lo ngại về bảo mật và sau đó để nó khắc phục chúng.
[Video về Claude Code đánh giá bảo mật]
Khi các nhà phát triển ngày càng dựa vào AI để phát hành nhanh hơn và xây dựng các hệ thống phức tạp hơn, việc đảm bảo an ninh mã trở nên quan trọng hơn bao giờ hết. Các tính năng mới này cho phép bạn tích hợp các đánh giá bảo mật vào quy trình làm việc hiện có của mình, giúp bạn phát hiện các lỗ hổng trước khi chúng đi vào sản xuất.
Đánh giá mã để tìm các lỗ hổng từ thiết bị đầu cuối của bạn
Lệnh /security-review mới cho phép bạn chạy các phân tích bảo mật đặc biệt từ thiết bị đầu cuối của mình trước khi cam kết mã. Chạy lệnh trong Claude Code và Claude sẽ tìm kiếm cơ sở mã của bạn để tìm các lỗ hổng tiềm ẩn và cung cấp giải thích chi tiết về bất kỳ vấn đề nào được tìm thấy.
Lệnh này sử dụng một lời nhắc tập trung vào bảo mật chuyên biệt để kiểm tra các mẫu lỗ hổng phổ biến bao gồm:
- Rủi ro tấn công SQL injection
- Các lỗ hổng cross-site scripting (XSS)
- Các sai sót về xác thực và ủy quyền
- Xử lý dữ liệu không an toàn
- Các lỗ hổng phụ thuộc
Bạn cũng có thể yêu cầu Claude Code triển khai các bản sửa lỗi cho từng vấn đề sau khi chúng được xác định. Điều này giúp các đánh giá bảo mật trong vòng lặp phát triển bên trong của bạn, phát hiện các vấn đề sớm khi chúng dễ sửa chữa nhất.
Tự động hóa các đánh giá bảo mật cho các yêu cầu kéo mới
Tác vụ GitHub mới cho Claude Code thực hiện các đánh giá bảo mật thêm một bước nữa bằng cách tự động phân tích mọi yêu cầu kéo khi nó được mở. Khi được định cấu hình, tác vụ:
- Tự động kích hoạt trên các yêu cầu kéo mới
- Xem xét các thay đổi mã để tìm các lỗ hổng bảo mật
- Áp dụng các quy tắc có thể tùy chỉnh để lọc các trường hợp dương tính giả và các vấn đề đã biết
- Đăng các nhận xét trực tiếp trên PR với bất kỳ mối lo ngại nào được tìm thấy, bao gồm cả các đề xuất sửa chữa
Điều này tạo ra một quy trình đánh giá bảo mật nhất quán trên toàn bộ nhóm của bạn, đảm bảo không có mã nào đi vào sản xuất mà không có đánh giá bảo mật cơ bản. Tác vụ này tích hợp với quy trình CI/CD hiện có của bạn và có thể được tùy chỉnh để phù hợp với các chính sách bảo mật của nhóm bạn.
Cải thiện an ninh sản phẩm tại Anthropic
Chúng tôi đang sử dụng các tính năng này cho chính mình để giúp bảo mật mã mà nhóm của chúng tôi gửi đến sản xuất, bao gồm cả chính Claude Code. Kể từ khi thiết lập tác vụ GitHub, điều này đã phát hiện ra các lỗ hổng bảo mật trong mã của chúng tôi và ngăn chúng được phát hành.
Ví dụ: tuần trước, nhóm của chúng tôi đã xây dựng một tính năng mới cho một công cụ nội bộ dựa trên việc khởi động một máy chủ HTTP cục bộ để chấp nhận các kết nối cục bộ. Tác vụ GitHub đã xác định một lỗ hổng thực thi mã từ xa có thể khai thác thông qua DNS rebinding và nó đã được khắc phục trước khi PR được hợp nhất.
Trong một trường hợp khác, một kỹ sư đã xây dựng một hệ thống proxy để cho phép quản lý an toàn các thông tin xác thực nội bộ. Tác vụ GitHub đã tự động gắn cờ rằng proxy này dễ bị tấn công SSRF và chúng tôi đã nhanh chóng khắc phục vấn đề này.
Bắt đầu
Cả hai tính năng hiện đã có sẵn cho tất cả người dùng Claude Code. Để bắt đầu sử dụng các đánh giá bảo mật tự động:
- Đối với lệnh /security-review: Chỉ cần cập nhật Claude Code lên phiên bản mới nhất và chạy /security-review trong thư mục dự án của bạn. Xem tài liệu để tùy chỉnh phiên bản lệnh của riêng bạn
- Đối với tác vụ GitHub: Xem tài liệu để biết hướng dẫn cài đặt và cấu hình từng bước