Sign up for a free recipe e-book →

Juan Oliva

SAST Security Code Testing con Claude Code

Published by

jroliva

on

Después de comprobar Gemini CLI dejó de funcionar, era necesario tocar otras puertas, entonces nos vamos a confabular con Claude Code para reaizar análisis SAST.

La parte conextual/teórica de lo que es el análisis SAST y por qué es importante, lo pueden leer por en este post. Con ello nos metemos directamente a la instalación de Claude Code.

1.- Instalación y configuración de Claude en Visual Studio Code.

Primero instalaremos la extensión «Claude Code VS Code»

Luego haremos clic sobre el símbolo de Claude (1) esto activará una pestaña del chat y nos loguearemos (2) con nuestra cuenta suscrita, como se muestra a continuación:

Sin embargo, esto nos activa Claude Code, en modo chat dentro de VSCode, pero personalmente prefiero el CLI para ello es necesario hacer clic justamente en la pregunta que nos hacen en el chat, si preferimos cambiar al modo terminal:

Esto hará que nos muestra la configuración para activar el CLI de la siguiente forma:

Básicamente, nos crea un acceso directo desde el icono del Claude, pero no podrá, ya que falta instalar el CLI de la siguiente forma:

sudo apt install -y nodejs npm
sudo npm install -g @anthropic-ai/claude-code@latest

Con ello instalado, ahora si podremos tener el CLI de Claude Code en VSCode

2.- Ejecución de análisis SAST
En seguida, podremos invocar el skill code-review que nos permite realizar análisis de vulnerabilidades en el código, entonces ejecutaremos :

/code-review scan only this file /home/kali/DVWA/vulnerabilities/sqli/index.php

Luego de unos minutos, nos mostrará el reporte:

Otro de los plugins que mejora la postura de seguridad del código en Claude Code es «security-guidance» ya que está enfocado en vulnerabilidades inyección de código, deserialización insegura, API DOM insegura. Se puede instalar mediante :

/plugin install security-guidance@claude-plugins-official

Luego para realizar una revisión global, includio el skill security-review, para ello se puede invocar desde el Cli:

Security guidance for /home/kali/DVWA/vulnerabilities/sqli/index.php

Es importante indicar que como lo hacía Gemini, en este caso Claude, también contextualiza en análisis siguiendo el flujo de los datos, es decir no se limitó en analizar el archivo index.php y siguió el flujo analizando los demás archivos.

Más información:
https://code.claude.com/docs/es/code-review
https://claude.com/blog/code-review
https://marketplace.visualstudio.com/items?itemName=anthropic.claude-code
https://claude.com/plugins/security-guidance

Espero les sirva
Juan Oliva

Deja un comentario

Juan Oliva

Consultor en Ciberseguridad con mas de 17 años de experiencia en el campo, muy involucrado en proyectos de Ethical Hacking, análisis y explotación de vulnerabilidades en infraestructura, aplicaciones web, APIs y Móviles, pruebas de ingeniería social y revisión de código.

Entradas recientes