2 篇文章带有标签 “code-audit”

Claude 代码安全审查 (Claude Code Security Review) 是一个基于 AI 的 GitHub Action 安全审查工具，利用 Claude 分析代码变更中的安全漏洞。包含了我个人的二次开发成果（Web 界面、全库扫描、可视化报告）。

Claude 代码安全审查器 (Claude Code Security Reviewer)

这是一个基于 AI 驱动的 GitHub Action 安全审查工具，利用 Claude 分析代码变更中的安全漏洞。该 Action 使用 Anthropic 的 Claude Code 工具进行深度语义安全分析，为 Pull Request (PR) 提供智能且具备上下文感知能力的安全评估。

功能特性

• AI 驱动分析：利用 Claude 先进的推理能力，通过深度语义理解来检测安全漏洞。
• 差异感知扫描：针对 PR，仅分析发生变更的文件。
• PR 自动评论：自动在 PR 中针对发现的安全问题发布评论。
• 上下文理解：超越简单的模式匹配，深入理解代码的语义逻辑。
• 语言无关性：支持任何编程语言。
• 误报过滤：通过高级过滤功能减少干扰，专注于真正的安全漏洞。

快速入门

将以下内容添加到您仓库的 .github/workflows/security.yml 文件中：

代码注入：SQL注入：MyBatis

提示词

您是一名 Java 高级软件工程师，主要任务是根据缺陷报告的信息修复软件中的漏洞。

要求

请根据缺陷报告，修复缺陷代码片断的缺陷。 要求修复后的软件不改变原有的功能。 需要给出修复后的代码片段或者修复建议。

缺陷报告 缺陷类别： 一级类： 代码注入 二级类：SQL注入：MyBatis 详细信息： SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义，进而执行任意SQL命令，达到入侵数据库乃至操作系统的目的。在Mybatis Mapper Xml中，#变量名称创建参数化查询SQL语句,不会导致SQL注入。而$变量名称直接使用SQL指令，会导致SQL注入攻击。 例如：以下代码片段采用$变量名称动态地构造并执行了SQL查询。 <!