Anthropic a publié deux nouvelles fonctionnalités de sécurité pour Claude Code : une commande en terminal qui audite votre base de code à la demande et une GitHub Action qui analyse chaque pull request automatiquement. Les deux utilisent les capacités de raisonnement de Claude pour trouver des vulnérabilités que les outils d'analyse statique traditionnels manquent souvent.

La commande /security-review

Le premier outil est une commande slash intégrée à Claude Code. Exécuter /security-review depuis le terminal déclenche une analyse de sécurité complète de toutes les modifications en attente dans le répertoire de travail. Claude examine le code, identifie les vulnérabilités potentielles et renvoie des explications détaillées de chaque problème ainsi que des conseils de remédiation.

La commande est conçue pour être exécutée avant de committer le code. Elle agit comme une dernière ligne de défense, capturant les problèmes qui pourraient passer à travers le linting et les tests unitaires. L'analyse couvre les attaques par injection, les failles d'authentification, l'exposition de données, les faiblesses cryptographiques et les problèmes de logique métier comme les conditions de concurrence.

GitHub Action pour les pull requests

Le second composant est une GitHub Action open source (anthropics/claude-code-security-review) qui s'intègre dans les pipelines CI/CD. Quand un développeur ouvre une pull request, l'action analyse automatiquement les fichiers modifiés et publie des commentaires en ligne sur les lignes spécifiques où elle trouve des problèmes de sécurité.

L'action est consciente du diff, ce qui signifie qu'elle n'analyse que les fichiers modifiés dans la PR plutôt que la base de code entière. Cela maintient l'analyse ciblée et rapide. Les options de configuration incluent les exclusions de répertoires, des instructions d'analyse de sécurité personnalisées et des délais d'attente ajustables pour les bases de code plus volumineuses.

Ce que cela détecte

La couverture des vulnérabilités est large. Le scanner détecte les injections SQL, les injections de commandes, les XSS (réfléchies, stockées et basées sur le DOM), les authentifications défaillantes, l'escalade de privilèges, les secrets codés en dur, les algorithmes cryptographiques faibles, la désérialisation non sécurisée, les conditions de concurrence TOCTOU et les risques de chaîne d'approvisionnement comme le typosquatting dans les dépendances.

Tout aussi important est ce qu'il filtre. Le système déprioritise automatiquement les découvertes à faible impact comme les préoccupations génériques de déni de service, les suggestions de limitation de débit et les vulnérabilités de redirection ouverte. Ce filtrage des faux positifs réduit le bruit afin que les développeurs se concentrent sur les découvertes qui comptent réellement.

En quoi cela diffère du SAST traditionnel

Les outils traditionnels de test de sécurité des applications statiques (SAST) reposent sur la correspondance de motifs. Ils recherchent des signatures de vulnérabilité connues dans la syntaxe du code. Cela fonctionne pour les motifs courants mais produit des taux élevés de faux positifs et manque les problèmes dépendant du contexte.

L'approche de Claude Code est sémantique. Il lit le code comme le ferait un ingénieur en sécurité, comprenant l'intention, le flux de données et la relation entre les composants. Un outil SAST pourrait signaler chaque concaténation de chaîne SQL. Claude peut distinguer entre une requête paramétrée qui utilise accidentellement du formatage de chaîne et une véritable vulnérabilité d'injection.

Personnalisation

Les deux outils sont personnalisables. La commande /security-review peut être adaptée en copiant son fichier de prompt dans le répertoire .claude/commands/ d'un projet et en le modifiant avec les politiques de sécurité spécifiques à l'organisation. La GitHub Action accepte un fichier d'instructions personnalisées dans le même but.

Cela signifie que les équipes peuvent encoder leurs propres standards de sécurité, signaler des motifs spécifiques pertinents pour leur stack, ou ajuster les seuils de gravité pour correspondre à la tolérance au risque interne.

Limitations

Anthropic note explicitement que la GitHub Action n'est pas protégée contre l'injection de prompt et ne devrait être utilisée que sur des pull requests de confiance. Les dépôts qui l'utilisent devraient activer le paramètre "Exiger l'approbation pour tous les contributeurs externes" afin que les workflows ne s'exécutent qu'après qu'un mainteneur ait examiné la PR.

C'est une contrainte pratique. Puisque l'outil lit le code et raisonne à son sujet, du code adversaire conçu pour manipuler l'analyse pourrait théoriquement produire des résultats trompeurs. Pour les équipes internes et les contributeurs de confiance, cela est peu probable. Pour les dépôts open source publics, la validation par approbation est essentielle.

Pourquoi c'est important

À mesure que le code généré par IA devient plus courant dans les bases de code en production, le volume de code nécessitant une revue de sécurité augmente plus vite que le nombre d'ingénieurs en sécurité disponibles. Les outils automatisés qui comprennent la sémantique du code, plutôt que de simplement faire correspondre des motifs, comblent une lacune critique.

Le fait que cela soit livré à la fois comme outil CLI local et comme intégration CI/CD signifie que cela s'intègre aux flux de travail existants sans exiger des développeurs qu'ils changent leur façon de travailler. L'analyse de sécurité intervient là où le code est écrit et là où il est examiné, capturant les problèmes aux deux points où ils sont les moins coûteux à corriger.