Code Review לאבטחה עם Claude

📚 אבטחת מידע עם Claude ⏱️ 10 דק׳ 🎓 בינוני ✓ חינם לגמרי
Code Review לאבטחה עם Claude

מה שה-linter שלך לא רואה, ולמה זה עלול לעלות לך ביוקר

בדיקת CI עברה ירוק. הקוד נראה תקין. עמית אמר LGTM. ועדיין, שורת קוד אחת גרמה לדליפת 400,000 רשומות עובדים בחברת SaaS ישראלית בתחום ה-HR. הגורם: SQL injection שלא עבר שום security review מסודר. ב-2025 Anthropic השיקה פקודת /security-review ב-Claude Code ו-GitHub Action רשמי שעושים security review על כל PR אוטומטית. אבל גם בלי Claude Code, כל מפתח יכול לקבל ממצאים מדויקים תוך דקות עם פרומפט נכון ב-claude.ai. המפתח הוא לדעת לבקש.

security review לעומת code review רגיל, מה שונה?

ב-code review רגיל שואלים: "האם הקוד עובד?" ב-security review שואלים: "האם הקוד יכול להיות מנוצל?" קוד יכול לעבור כל בדיקה אוטומטית ועדיין להכיל פגיעות שתוקף ינצל ב-30 שניות. ה-OWASP Top 10:2025 מגדיר את הקטגוריות הנפוצות ביותר, ושים לב שהרשימה עודכנה לאחרונה: Injection ירד ממקום 3 למקום 5, Supply Chain Failures נכנסה כ-A03, ו-Broken Access Control נשאר בראש. Claude מכיר את הרשימה המעודכנת ומפרש אותה בהקשר הספציפי של הקוד שלך.

code review רגילsecurity review
האם הלוגיקה נכונה?האם תוקף יכול לעקוף את הלוגיקה?
קריאות ומבנהוקטורי תקיפה ו-impact
linter + unit testsOWASP Top 10 + הקשר עסקי
תיקון: שיפור קודתיקון: חסימת exploit ספציפי

הפרומפט שמביא ממצאים אמיתיים, לא רשימת buzzwords

ההבדל בין תשובה גנרית לתשובה שמפתח יכול לפעול לפיה הוא ההקשר שנותנים ל-Claude. השוו:

בדוק את הקוד הזה לבעיות אבטחה
אתה security engineer בכיר. בצע OWASP Top 10:2025 review לקוד Node.js הבא. הקשר: Express 4, PostgreSQL, JWT auth, סביבת AWS ECS. הנתונים: PII של לקוחות (שם, ת.ז., אימייל). לכל ממצא: [חומרה: CRITICAL/HIGH/MEDIUM/LOW], וקטור תקיפה ב-2 משפטים, קוד מתוקן עם הסבר, ו-unit test שמוודא שהפגיעות נסגרה. הדבק ממצאים גנריים ל-LOW בלבד. [הקוד כאן]

ארבעה מרכיבים שמשנים הכל: (1) תפקיד מומחה, מסגר את Claude כ-reviewer, לא כמסביר קוד. (2) הקשר טכנולוגי, JWT שונה מ-session cookies; PostgreSQL שונה מ-MongoDB מבחינת injection surfaces. (3) רמת רגישות, PII הופך MEDIUM ל-HIGH. (4) מבנה מובנה, חומרה + וקטור + תיקון + בדיקה, שאפשר להדביק ישירות ב-PR comment.

שלושת הממצאים שמפתחים מפספסים, ו-Claude תופס

חברת fintech ישראלית בת"א ביקשה מ-Claude לבדוק endpoint חדש לניהול תשלומים. שלושה ממצאים זוהו שאיש לא ראה בקוד review הרגיל:

שלושתם תוקנו לפני deployment. עלות התיקון: כמה שעות פיתוח. עלות פגיעה: קנסות PCI-DSS, הפסקת רישיון, נזק תדמיתי.

מה Claude מצטיין בו, ומה הוא מפספס

מחקר של Semgrep מ-2025 בחן את Claude Code על אפליקציית web מלאה. התוצאות גילו תמונה מפתיעה: Claude מצטיין ב-IDOR (22% true positive rate), פגיעויות שדורשות הבנת לוגיקת עסק, לא רק דפוסי קוד. אבל ב-SQL injection cross-file הוא מגיע רק ל-5%, כשמשתנה מסונן בקובץ A, מועבר לקובץ B, ומשמש בשאילתה בקובץ C, Claude מתקשה לעקוב אחרי ה-taint. המסקנה: שלח endpoints בנפרד עם הקשר מלא, לא dumps של אלפי שורות. וחשוב, הפעל שני passes נפרדים ושווה בין הממצאים, כי Claude אינו דטרמיניסטי: אותו פרומפט על אותו קוד מחזיר ממצאים שונים בכל הרצה.

אינטגרציה: /security-review ו-GitHub Action

Anthropic שחררה ב-2025 שני כלים רשמיים שמוסיפים security review לתהליך הפיתוח בלי מאמץ:

אזהרה חשובה: אל תריצו GitHub Action אוטומטית על PRs מ-contributors חיצוניים. חוקרי Checkmarx הוכיחו שניתן להטמיע הוראות זדוניות בתוך comments בקוד ולגרום ל-Claude לאשר קוד מסוכן (CVE-2025-59536). הגבילו לrepos פנימיים או דרשו approval ידני לפני הרצה.

טעות נפוצה: לסמוך על pass יחיד

שני טעויות שמפתחים עושים כשמשתמשים ב-Claude לsecurity review:

המשתמש מזריק קוד SQL לשאילתת מסד הנתונים
האפליקציה לא מאמתת שהמשתמש מורשה לגשת למשאב המזוהה ב-URL
המשתמש ניגש לאפליקציה ללא התחברות כלל
המשתמש מזריק JavaScript לדף
SQL Injection
XSS
IDOR
Command Injection
כל ה-codebase בבת אחת לכיסוי מרבי
endpoint בודד עם הקשר טכנולוגי מלא
רק שמות הפונקציות ללא קוד

סיכום, מה לקחת מהשיעור הזה

מקורות: Anthropic, Automate Security Reviews | GitHub Action רשמי | OWASP Top 10:2025

רוצה ללמוד עם מעקב התקדמות, קוויזים ותעודה?

כל 130 השיעורים פתוחים בחינם, כולל נגן אינטראקטיבי, שמירת התקדמות ותעודה דיגיטלית בסיום.