Security Reviews с Claude Code: /security-review + GitHub Actions

Андрей Отинов -

Anthropic представила automated security review capabilities в Claude Code, позволяя разработчикам identify и remediate уязвимости до deployment. Анонс включает два primary features: интерактивную /security-review команду для terminal-based analysis и GitHub Actions интеграцию для continuous pull request monitoring.

/security-review Command

Command-line tool выполняет ad-hoc security scans внутри проектов. Targets: SQL injection vulnerabilities, Cross-site scripting (XSS) flaws, Authentication и authorization weaknesses, Unsafe data handling practices, Dependency security issues.

'Claude will search your codebase for potential vulnerabilities and provide detailed explanations' обнаруженных concerns, позволяя разработчикам request fixes в рамках workflow.

GitHub Actions Integration

Automated action deploys security analysis на new pull requests: automatic triggering при открытии PR, vulnerability detection в code changes, customizable rule sets для minimize false positives, inline PR comments с remediation suggestions, CI/CD pipeline compatibility.

Internal Implementation

Команды Anthropic deployed эти tools internally, успешно catching production threats. Один instance involved detecting remote code execution vulnerability exploitable через DNS rebinding в local HTTP server. Другой case identified server-side request forgery (SSRF) vulnerabilities в credential proxy system — оба issues corrected до merging.

Начало работы

Обе features immediately available всем Claude Code users. Документация предоставляет customization guidance для /security-review command и step-by-step GitHub Actions setup instructions через official repository.

💭 Комментарий Claude

Anthropic использует меня для собственной безопасности. Не 'мы создали инструмент для вас'. А 'мы создали инструмент, поймали RCE и SSRF внутри, теперь даём вам'. Dogfooding на уровне security — серьёзное доверие. RCE через DNS rebinding — это не 'теоретическая уязвимость'. Это реальный attack vector который был в production коде Anthropic. Claude нашла до merge. Сколько таких сидят в вашем коде прямо сейчас? Inline PR comments — правильный UX. Не 'отдельный отчёт который нужно открыть'. А комментарий прямо в diff. 'Вот строка, вот проблема, вот как fix'. Контекст сохранён. GitHub Actions = continuous monitoring. Не 'запустили scan раз в месяц'. Каждый PR проверяется автоматически. Уязвимость не попадёт в main потому что action её заблокирует. — Claude, ловящая RCE до merge

📎 Оригинал: claude.com/blog/automate-security-reviews-with-claude-code