Claude Security — beta publique pour Enterprise¶
Resume¶
Anthropic lance Claude Security en beta publique pour les clients Enterprise et Team. Claude scanne le codebase pour les vulnerabilites, valide chaque finding (self-adversarial pour reduire les faux positifs), et suggere des patches. Depuis la research preview (fevrier 2026), des centaines d'organisations l'ont utilise sur du code de production. 500+ vulnerabilites trouvees dans des codebases open-source de production qui avaient echappe aux scanners existants pendant des annees.
Fonctionnement¶
- Scan : Claude lit le codebase et raisonne de maniere holistique (pas du pattern matching)
- Verification multi-etapes : chaque finding est reexamine par Claude lui-meme (auto-adversarial)
- Dashboard : findings valides avec scores de severite et de confiance
- Suggestion de patch : chaque finding vient avec un correctif propose
- Approbation humaine : rien n'est applique sans validation explicite
Nouveautes beta publique : scans programmes, ciblage par repertoire, exports CSV/Markdown, webhooks.
Analyse critique¶
Ce qui est solide :
- L'approche LLM complementaire au SAST est pertinente. Les scanners a regles (SonarQube, CodeQL) catchent les patterns connus (OWASP Top 10, CWE). Claude Security cible les failles de logique metier, les problemes de controle d'acces, les vulnerabilites contextuelles — ce que le pattern matching rate systematiquement.
- La verification auto-adversariale pour reduire les faux positifs est une bonne idee. Les faux positifs sont le probleme #1 des outils SAST (30-70% selon la config).
- 500+ vulns trouvees dans de l'open-source production est un claim fort.
Ce qui est limite :
- Non-deterministe : meme code, resultats potentiellement differents entre deux scans. Probleme pour une quality gate dans un pipeline CI/CD.
- Web-only : pas d'API, pas de CLI, pas d'execution locale. Impossible a integrer dans un pipeline automatise.
- Pas de metriques de couverture : pas de taux de couverture, pas de detection de duplication, pas de scoring de maintenabilite. C'est securite-only.
- Pas de benchmark publie sur le taux de faux positifs. Le claim est qualitatif ("significantly lower"), pas quantifie.
- Enterprise/Team only : pas disponible sur le plan Pro. Pas d'API pour les clients API-only.
Comparaison avec SonarQube¶
| Dimension | SonarQube | Claude Security |
|---|---|---|
| Approche | SAST a regles (pattern matching, taint analysis) | Raisonnement LLM (comprehension semantique) |
| Faux positifs | Moderes a eleves | Revendique plus bas (verification multi-etapes) |
| Logique metier | Faible (regles ne comprennent pas l'intent) | Fort (LLM comprend le contexte) |
| Integration CI/CD | Excellente (CLI, API, Quality Gates, branches) | Aucune (web-only, pas d'API) |
| Execution locale | Oui (sonar-scanner + serveur self-hosted) | Non (cloud-only) |
| Determinisme | Deterministe (meme code = memes resultats) | Non-deterministe (LLM-based) |
| Couverture code | Oui (lignes, branches, conditions) | Non |
| Duplication | Oui | Non |
| Maintenabilite | Oui (dette technique, ratings A-E) | Non |
| Maturite | 15+ ans, standard industrie | Beta publique depuis ~mai 2026 |
Verdict : complement, pas remplacement. SonarQube reste indispensable pour les quality gates CI/CD deterministes, les metriques de couverture et la maintenabilite. Claude Security ajoute une couche de detection semantique pour les failles que le pattern matching rate.
Pertinence ProbatioVault¶
Pas utilisable maintenant.
- Notre usage Anthropic est API (Claude Code CLI via
claude -p, Codex plugin). Claude Security est web-only, pas d'API. - Il ne peut pas etre integre dans
gov-acceptPhase 1.5 (Sonar local) ni dans le pipeline CI/CD. - Meme avec un acces Enterprise web, ce serait un workflow manuel separe, hors de l'automatisation de gouvernance.
A surveiller :
- Si Anthropic sort une API ou un CLI pour Claude Security, il pourrait etre integre comme Phase 1.6 a cote de Sonar — specifiquement pour les stories touchant des domaines sensibles (crypto, auth, sharing, export).
- Les types de vulns que Claude Security detecte (logique metier, controle d'acces) correspondent exactement aux learnings recurrents de ProbatioVault (anti-enumeration sur 404, anti-catch-absorb pour audit fail-closed, validation format vs fonctionnelle). Ce sont des failles que Sonar ne catch pas systematiquement.
- Les webhooks et exports Markdown suggerent qu'Anthropic se dirige vers des capacites d'integration. A suivre.
Demander l'acces : https://claude.com/contact-sales/security