EPISODE · May 26, 2026 · 3 MIN
@ClaudeDevs:Claude Code 推出security-guidance Plugin強化程式漏洞修復。 Anthropic 近期為「Claude Code」發布了…
from EasyVibeCoding Podcast · host ClaudeDevs
Claude Code 推出security-guidance Plugin強化程式漏洞修復。 Anthropic 近期為「Claude Code」發布了一款名為「security-guidance」的官方 plugin,旨在將安全審查流程前移至開發階段。該工具能自動監控 Claude 的程式碼變更,並在同一個對話週期內提出修正建議,顯著降低了進入 Pull Request(PR)階段後的安全審查負擔。根據 Anthropic 內部測試與基準評估,使用此 plugin 後,PR 中的安全相關評論數量減少了 30% 至 40%。 運作機制與審查層級 該 plugin 透過「hooks」機制運作,並在三個不同深度進行審查: 檔案編輯層級(On file edits):進行快速的確定性字串比對,無需呼叫模型,因此不產生額外 token 費用。主要偵測危險函式庫誤用(如 eval()、pickle)或不安全的 DOM API 操作。 對話週期結束層級(At the end of each turn):在 Claude 完成一次回應後,自動計算工作目錄的 git diff,並呼叫另一個獨立的 Claude 模型進行背景審查,針對注入攻擊、授權繞過或不安全加密等問題進行分析。 提交與推送層級(On each commit or push):當 Claude 執行 git commit 或 git push 時,觸發更深度的 Agent 審查。此層級會讀取周邊程式碼(如呼叫者與相關檔案)以驗證漏洞真實性,有效降低誤報率。 安裝與啟用流程 使用者可透過 Claude Code CLI 進行安裝與啟用: 在 Claude Code 會話中執行安裝指令: `bash /plugin install security-guidance@claude-plugins-official ` 若系統提示找不到 marketplace,請先執行: `bash /plugin marketplace add anthropics/claude-plugins-official ` 啟用 plugin 以套用變更: `bash /reload-plugins ` 若需在雲端會話或共享專案中啟用,請在專案的 .claude/settings.json 中宣告: `json { "enabledPlugins": { "security-guidance@claude-plugins-official": true } } ` 自訂規則與擴充性 開發者可透過專案內的設定檔擴充審查邏輯,這些規則會與內建檢查疊加: 模型審查指引:在專案根目錄建立 .claude/claude-security-guidance.md,以自然語言描述威脅模型或檢查清單(例如:禁止記錄敏感資訊、強制執行權限檢查)。 自訂模式比對:建立 security-patterns.yaml 或 security-patterns.json,透過正規表示式(regex)或字串比對定義自訂的風險模式,例如偵測硬編碼的 API 金鑰或特定租戶的過濾規則。 技術限制與定位 Anthropic 強調,此 plugin 並非完整的安全解決方案,而是「深度防禦」策略中的一環。它不會阻止程式碼寫入或提交,而是將發現的問題作為指令反饋給 Claude。此外,該工具依賴 git 狀態,若未在 git 儲存庫中運作,部分審查功能將會跳過。建議開發者將此 plugin 作為第一道防線,並持續配合 PR 階段的「Code Review」工具及 CI/CD 流程中的靜態分析與相依性掃描工具,以確保整體安全性。原文:https://easyvibecoding.app/curated/1566
What this episode covers
Claude Code 推出security-guidance Plugin強化程式漏洞修復。 Anthropic 近期為「Claude Code」發布了一款名為「security-guidance」的官方 plugin,旨在將安全審查流程前移至開發階段。該工具能自動監控 Claude 的程式碼變更,並在同一個對話週期內提出修正建議,顯著降低了進入 Pull Request(PR)階段後的安全審查負擔。根據 Anthropic 內部測試與基準評估,使用此 plugin 後,PR 中的安全相關評論數量減少了 30% 至 40%。 運作機制與審查層級 該 plugin 透過「hooks」機制運作,並在三個不同深度進行審查: 檔案編輯層級(On file edits):進行快速的確定性字串比對,無需呼叫模型,因此不產生額外 token 費用。主要偵測危險函式庫誤用(如 eval()、pickle)或不安全的 DOM API 操作。 對話週期結束層級(At the end of each turn):在 Claude 完成一次回應後,自動計算工作目錄的 git diff,並呼叫另一個獨立的 Claude 模型進行背景審查,針對注入攻擊、授權繞過或不安全加密等問題進行分析。 提交與推送層級(On each commit or push):當 Claude 執行 git commit 或 git push 時,觸發更深度的 Agent 審查。此層級會讀取周邊程式碼(如呼叫者與相關檔案)以驗證漏洞真實性,有效降低誤報率。 安裝與啟用流程 使用者可透過 Claude Code CLI 進行安裝與啟用: 在 Claude Code 會話中執行安裝指令: `bash /plugin install security-guidance@claude-plugins-official ` 若系統提示找不到 marketplace,請先執行: `bash /plugin marketplace add anthropics/claude-plugins-official ` 啟用 plugin 以套用變更: `bash /reload-plugins ` 若需在雲端會話或共享專案中啟用,請在專案的 .claude/settings.json 中宣告: `json { "enabledPlugins": { "security-guidance@claude-plugins-official": true } } ` 自訂規則與擴充性 開發者可透過專案內的設定檔擴充審查邏輯,這些規則會與內建檢查疊加: 模型審查指引:在專案根目錄建立 .claude/claude-security-guidance.md,以自然語言描述威脅模型或檢查清單(例如:禁止記錄敏感資訊、強制執行權限檢查)。 自訂模式比對:建立 security-patterns.yaml 或 security-patterns.json,透過正規表示式(regex)或字串比對定義自訂的風險模式,例如偵測硬編碼的 API 金鑰或特定租戶的過濾規則。 技術限制與定位 Anthropic 強調,此 plugin 並非完整的安全解決方案,而是「深度防禦」策略中的一環。它不會阻止程式碼寫入或提交,而是將發現的問題作為指令反饋給 Claude。此外,該工具依賴 git 狀態,若未在 git 儲存庫中運作,部分審查功能將會跳過。建議開發者將此 plugin 作為第一道防線,並持續配合 PR 階段的「Code Review」工具及 CI/CD 流程中的靜態分析與相依性掃描工具,以確保整體安全性。 原文:https://easyvibecoding.app/curated/1566
NOW PLAYING
@ClaudeDevs:Claude Code 推出security-guidance Plugin強化程式漏洞修復。 Anthropic 近期為「Claude Code」發布了…
No transcript for this episode yet
Similar Episodes
Mar 26, 2026 ·1m
Jan 2, 2026 ·47m
Dec 21, 2025 ·46m