Anthropic Claude Code 在AI竞争中加入DevSecOps功能

在一个竞争日益激烈的生成式AI领域，Anthropic正将重点放在软件安全上，为其Claude Code产品推出一套新的功能。此举旨在帮助开发者在软件开发生命周期的早期主动识别并修复漏洞，从而在OpenAI准备其下一代模型以及Meta加剧AI人才争夺之际，使Claude脱颖而出。

Anthropic此次更新的核心是将自动化安全审查直接集成到开发者工作流程中。新的/security-review命令允许开发者在提交代码之前从终端启动即时扫描。在Claude Code中调用时，该命令会提示AI检查代码库中潜在的弱点，并为发现的任何问题提供详细解释。这包括检测常见的漏洞模式，例如SQL注入风险、跨站脚本（XSS）缺陷、身份验证和授权漏洞、不安全的数据处理实践以及与依赖项相关的弱点。至关重要的是，Claude Code还可以为已识别的问题提出甚至应用修复方案，将安全性直接嵌入到“内部开发循环”中，促进早期解决。

分析师认为，这项功能是AI辅助软件开发中迈向更大责任的关键一步。与常常让开发者淹没在误报中的传统静态分析工具不同，Claude利用其广阔的上下文窗口来理解跨多个文件和架构层的代码。这使其能够提供更智能、高置信度的发现，并附带可解释的推理，而不仅仅是二元警报。Greyhound Research的首席分析师兼首席执行官Sanchit Vir Gogia指出，随着“氛围编码”（一种由生成式AI驱动的开发术语）加速代码速度和复杂性，这项能力尤为重要。Gogia强调，要让Claude真正改变企业DevSecOps，它需要在庞大的代码库、定制威胁模型和多样化的合规性要求下展现出规模化的弹性。

除了即时检查，Anthropic还在加强持续安全。Claude Code的新GitHub Action可以自动化所有拉取请求的安全审查，扫描代码更改中的漏洞，并应用可自定义的规则以最大程度地减少误报并过滤掉已知问题。该工具随后会在拉取请求中直接发布带有推荐修复方案的内联注释，从而使开发团队的安全审查标准化，并防止不安全的代码进入生产环境。此功能与现有的持续集成/持续交付（CI/CD）管道无缝集成，并且可以配置为遵循组织特定的安全策略。Everest Group的高级分析师Oishi Mazumder强调，Claude的安全代码审查功能如何通过自动化耗时的手动审查，显著增强企业DevSecOps，从而加速“左移”安全实践，将安全性更早地嵌入到SDLC中。

这一演变标志着生成式AI在软件开发中部署方式的更广泛转变。像Claude这样的工具不再仅仅是编码助手，它们正开始在安全执行和治理中扮演角色。尽管GitHub Copilot最近添加了拉取请求级别的安全建议，并且Microsoft Security Copilot在富遥测的安全运营中心（SOC）环境中表现出色，但两者都没有提供Anthropic所追求的深度集成开发工具。同样，Google的Gemini Code Assist提供了强大的代码摘要和质量改进功能，但其在高度受监管环境中漏洞检测的有效性仍 largely 未经证实。

尽管AI辅助代码审查有望提高效率，但它也引入了企业必须仔细管理的新风险。Gogia警告不要混淆基于LLM的工具的“流畅性与准确性”，并提醒说，Claude Code与其同行一样，可能会生成措辞精巧但事实不准确的结论。这可能会助长一种虚假的安全感，无意中破坏既定的审查协议。为了充分发挥Claude Code的价值，组织必须将其输出整合到严格的SDLC控制中，包括强大的合规性检查、勤奋的人工监督以及可审计的文档，确保创新不会以牺牲安全完整性为代价。