Antropic Today запустила автоматические обзоры безопасности для Claude Code, его помощника по кодированию командной строки, посвященной растущей обеспокоенности по поводу обеспечения безопасности кода, поскольку AI значительно ускоряет разработку программного обеспечения.
Новые возможности включают в себя команду по сканированию безопасности на основе терминала и автоматические обзоры запросов Github Pull, представляющие то, что Логан Грэм, руководитель пограничной красной команды Anpropic, называет «отправной точкой помощи разработчикам сделать свой код действительно, действительно безопасным, в основном даже не пытаясь».
Обзоры безопасности на скорости терминала
Центральным элементом обновления является новая команда /обзор безопасности, которую разработчики могут работать непосредственно из своего терминала перед совершением кода. По словам Антропика, в посте, в сообщении в блоге, эта функция сканирования для общих уязвимостей, включая инъекцию SQL, сценарии поперечного сайта (XSS), недостатки аутентификации, небезопасную обработку данных и уязвимости зависимости.
«Это буквально как 10 клавиш, и вы получаете в основном старшего инженера по безопасности на плече», — сказал Грэм в новой стеке. «Для кого -то должно быть в основном легко создавать код, который они пишут, или код, который они пишут с Клодом чрезвычайно безопасным, или это должно просто автоматически происходить для них», — добавил он.
После выявления проблем разработчики могут попросить Claude Code автоматически реализовать исправления, сохраняя отзывы о безопасности в том, что Грэм называет «внутренним циклом развития», где проблемы являются самыми простыми и дешевыми для решения.
Автоматизированная безопасность запроса на вытягивание
Вторая основная функция — это действие GitHub, которое автоматически проверяет каждый запрос на уязвимости по обеспечению безопасности. Настроившись командами безопасности, система автоматически запускает новые запросы на привлечение, проверяет изменения кода для уязвимостей безопасности, применяет настраиваемые правила для фильтрации ложных срабатываний и публикации комментариев в соответствии с запросами на притяжение с конкретными проблемами и рекомендуемыми исправлениями.
«Это создает постоянный процесс обзора безопасности во всей вашей команде, гарантируя, что код не достигает производства без базового обзора безопасности», — сказал Антропик в сообщении в блоге. «Действие объединяется с вашим существующим конвейером CI/CD и может быть настроено в соответствии с политикой безопасности вашей команды».
Реальные результаты
Anpropic проверяет эти функции внутренне. Грэм сказал, что компания поймала несколько уязвимостей производства до того, как они отправились, в том числе удаленное уязвимое выполнение кода, используемая посредством DNS, повторения на локальном HTTP -сервере, и уязвимость атаки SSRF во внутренней системе управления учетными данными.
«После настройки действия GitHub это уже улавливает уязвимости безопасности в нашем собственном коде и не позволило им быть отправлены и достигнуты наших пользователей», — говорится в сообщении в блоге.
Scale Challenge
Функции безопасности рассматривают то, что Грэм видит как новый кризис в области безопасности программного обеспечения. По мере того, как инструменты искусственного интеллекта становятся более распространенными, объем производимого кода взрывается.
«Модели теперь пишут чрезвычайное количество кода», — сказал Грэм. «Я думаю, что это действительно возможно в течение следующего, например, на год или два года, вы окажетесь в 10x-ing или 100x-ing или 1000x-ings сумма кода, существующего в мире. Единственный способ не отставать от этого-это модели».
По словам Грэма, это резкое увеличение объема кода делает традиционные обзоры безопасности, возглавляемые человеком, нецелесообразными в масштабе. «Прямо сейчас это требует, чтобы люди просмотрели все, чтобы убедиться, что это безопасно, и если мы действительно хотим, чтобы модели работали над самыми высокими значениями в мире, нам нужно найти способ сделать весь код, который выходит таким же безопасным и в идеале гораздо больше», — сказал он в новом стеке.
Демократизация безопасности
Помимо решения масштаба, функции стремятся демократизировать доступ к опыту безопасности. Грэм объяснил, что инструменты могут принести пользу небольшим командам разработчиков, в которых отсутствуют специальные инженеры по безопасности или бюджеты для дорогого программного обеспечения для безопасности.
«Мы демократизируем обзор безопасности, вы знаете, магазин с одним человеком, который создает что-то захватывающее и не имеет инженера по безопасности, не может оплатить лицензию на программное обеспечение»,-сказал он. «Они, вероятно, станут больше, быстрее и надежно, если начнут использовать эти инструменты».
От хакатона до производства
Особенности безопасности возникали как внутренний проект хакатона в Anpropic, где команда безопасности создавала инструменты для поддержания того, что Грэм описывает как «безопасность пограничного класса» для компании ИИ. Когда инструмент начал поиск проблем в собственном коде Anpropic до выхода, команда решила сделать их доступными для всех пользователей Claude Code.
«Это началось как проект хакатона. Он уже начал находить как проблемы или недостатки в нашем коде, прежде чем мы выпустили его самим», — объяснил Грэм. «И мы подумали, что это супер, очень полезно. Это действительно связано с миссией. Почему бы нам просто не сделать его доступным для всех в Коде Клода?»
Фокус предприятия
Объявление безопасности продолжает недавний стремление Антрика, чтобы сделать Клод Код более готовым к предприятию. Только в прошлом месяце компания отправила субагенты, аналитические панели для администраторов, поддержка нативных окон, крючки и многонациональную поддержку, сказал Грэм.
Этот темп инноваций указывает на то, что более широкие амбиции Anpropic состоит в том, чтобы позиционировать Claude Code как важную инфраструктуру для групп разработчиков, выходя за рамки простого генерации кода к комплексной интеграции рабочего процесса разработки.
Компания может обеспечить технологии на этой скорости, потому что: «Антропик — это безумно талантлив, и то, что мы осуществляем для того, что мы являемся, как, честно говоря, очень, очень удивительный сегодня», — сказал Грэм новой стеке.
Глядя в будущее
Грэм сказал, что функции безопасности — это только начало большей трансформации в том, как развитие программного обеспечения и безопасность пересекаются с ИИ.
«Широкое убеждение, которое у нас есть, — это модели со временем, в основном будут делать все очень агентским способом», — сказал он, предполагая, что агенты искусственного интеллекта будут все более сложными, многоэтапными задачами разработки автономно.
Как команда /Review, так и действие GitHub сразу же доступны для всех пользователей Claude Code. Команда терминала требует обновления до последней версии Claude Code, в то время как действие GitHub требует ручной настройки после документации Anpropic.
По словам Грэма, для разработчиков разработчиков и организаций, которые сталкиваются с последствиями для обеспечения безопасности A-Accelerated Development, эти инструменты представляют собой раннюю попытку обеспечить выгоду от помощи по кодированию искусственного интеллекта, сказал Грэм.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэррил К. Тафт охватывает DevOps, инструменты разработки программного обеспечения и проблемы, связанные с разработчиком из своего офиса в районе Балтимора. Он имеет более чем 25 -летний опыт работы в бизнесе и всегда ищет следующий совок. Он работал … читайте больше от Дэррила К. Тафта
