Anthropic ha presentato una funzionalità per le revisioni automatizzate della sicurezza in Claude Code. Grazie alla integrazione con GitHub Actions e a un nuovo comando, gli sviluppatori possono facilmente chiedere a Claude di identificare i problemi di sicurezza e poi risolverli.
Poiché gli sviluppatori fanno sempre più affidamento sull’intelligenza artificiale per accelerare i tempi di consegna e creare sistemi più complessi – sottolinea Anthropic –, garantire la sicurezza del codice diventa ancora più fondamentale. Queste nuove funzionalità consentono di integrare le revisioni di sicurezza nei flussi di lavoro esistenti, aiutando gli sviluppatori a individuare le vulnerabilità prima che raggiungano la produzione.
Il nuovo comando /security-review consente di eseguire analisi di sicurezza ad hoc dal terminale prima di eseguire il commit del codice. Basta eseguire il comando in Claude Code, spiega Anthropic, e Claude cercherà potenziali vulnerabilità nel codice e fornirà spiegazioni dettagliate di eventuali problemi rilevati.
Questo comando utilizza un prompt specializzato incentrato sulla sicurezza che verifica i modelli di vulnerabilità comuni, tra cui:
- Rischi di SQL injection
- Vulnerabilità di cross-site scripting (XSS)
- Lacune di autenticazione e autorizzazione
- Gestione dei dati non sicura
- Vulnerabilità nelle dipendenze
È anche possibile chiedere a Claude Code di implementare correzioni per ogni problema dopo che è stato identificato. Ciò mantiene le revisioni di sicurezza nel proprio ciclo di sviluppo interno, individuando i problemi in anticipo quando sono più facili da risolvere.
La nuova GitHub action per Claude Code porta le security review a un livello superiore, analizzando automaticamente ogni pull request quando viene aperta. Una volta configurata, l’azione:
- Si attiva automaticamente sulle nuove pull request
- Esamina le modifiche al codice alla ricerca di vulnerabilità di sicurezza
- Applica regole personalizzabili per filtrare i falsi positivi e i problemi noti
- Posta commenti inline sulla pull request con eventuali problemi riscontrati, comprese le raccomandazioni per le correzioni
Ciò – evidenzia Anthropic – crea un processo di revisione della sicurezza coerente per tutto il team, garantendo che nessun codice raggiunga la produzione senza una revisione di sicurezza di base. L’azione si integra con la pipeline CI/CD esistente e può essere personalizzata in base alle policy di sicurezza del team.
Anthropic condivide che l’azienda stessa sta utilizzando queste funzionalità per proteggere il codice che il suo team invia in produzione, incluso Claude Code stesso. Da quando l’azienda ha configurato la GitHub action, questa ha già individuato vulnerabilità di sicurezza nel codice e ne ha impedito l’invio.
Ad esempio, di recente il team ha sviluppato una nuova funzionalità per uno strumento interno che si basava sull’avvio di un server HTTP locale destinato ad accettare connessioni locali. La GitHub action ha identificato una vulnerabilità di esecuzione di codice in remoto sfruttabile tramite DNS rebinding, che è stata corretta prima che la pull request fosse unita.
In un altro caso, un ingegnere ha creato un sistema proxy per consentire la gestione sicura delle credenziali interne. La GitHub action ha automaticamente segnalato che questo proxy era vulnerabile agli attacchi SSRF e il team ha prontamente risolto il problema.
Entrambe le funzionalità sono ora disponibili per tutti gli utenti di Claude Code, ha annunciato Anthropic. Per iniziare a utilizzare le revisioni di sicurezza automatizzate:
- Per il comando /security-review: è sufficiente aggiornare Claude Code all’ultima versione ed eseguire /security-review nella directory del progetto. È possibile consultare la documentazione per maggiori dettagli e per personalizzare la propria versione del comando
- Per la GitHub action: anche in questo caso la documentazione contiene istruzioni dettagliate sull’installazione e la configurazione.
