Avec GPT-5 à l’horizon et la méta-rampant dans l’embauche de l’IA, les nouvelles fonctionnalités axées sur la sécurité d’Anthropic visent à différencier Claude dans l’espace de codage de Genai de plus en plus encombré.
Anthropic a introduit des avis de sécurité automatisés dans son produit Claude Code, visant à aider les développeurs à identifier et à corriger les vulnérabilités plus tôt dans le processus de développement logiciel.
La mise à jour comprend une intégration des actions GitHub et une nouvelle commande «/ sécurité-reviviale», permettant aux développeurs d’inviter Claude à scanner le code pour des problèmes de sécurité et à recommander des correctifs.
Le lancement fait suite à la sortie par Anthropic de Claude Opus 4.1, son modèle d’IA le plus avancé à ce jour, qui, selon la société, offre des améliorations majeures dans la gestion des tâches de codage.
Cette décision met en évidence la concurrence croissante dans le secteur de l’IA, car ses concurrents, notamment Openai, se préparent à dévoiler GPT-5 et Meta augmente les efforts de recrutement avec des offres de plusieurs millions de dollars aux talents.
Le lancement est également venu lorsque les outils d’IA gagnent du terrain parmi les développeurs. Dans une enquête sur le débordement de la pile en 2025, 84% des répondants ont déclaré qu’ils utilisaient ou prévoyaient d’utiliser l’IA dans leurs flux de travail de développement, contre 76% en 2024.
Cependant, la confiance dans la sortie générée par l’AI-AI reste mélangée. Alors que 33% des développeurs de l’enquête ont déclaré avoir confiance en l’exactitude de ces outils, 46% ont exprimé leur méfiance et seulement 3% ont déclaré un niveau élevé de confiance dans les résultats.
Repenser la sécurité du code
Anthropic a déclaré que la nouvelle commande «/ sécurité-réview» permet aux développeurs d’exécuter des analyses de sécurité ad hoc à partir du terminal avant de commettre du code.
« Exécutez la commande dans Claude Code, et Claude recherchera à votre base de code des vulnérabilités potentielles et fournira des explications détaillées de tout problème trouvé », a déclaré la société dans un communiqué.
La commande utilise une invite axée sur la sécurité pour détecter les modèles de vulnérabilité communs, y compris les risques d’injection SQL, les défauts de scripts inter-sites (XSS), les problèmes d’authentification et d’autorisation, la gestion des données en précurse et les faiblesses liées à la dépendance.
Les développeurs peuvent également instruire le code Claude d’appliquer des correctifs pour les problèmes qu’il trouve, en maintenant les examens de sécurité dans la boucle de développement intérieure et en résolvant les problèmes au début du processus de développement.
Les analystes disent que cette fonctionnalité signale un changement vers une plus grande responsabilité dans le développement de logiciels assistés par Genai.
Contrairement aux outils d’analyse statique traditionnels, qui génèrent souvent des volumes élevés de faux positifs, Claude utilise sa grande fenêtre de contexte pour comprendre le code à travers les fichiers et les couches architecturales. Il fournit également un raisonnement explicable pour chaque problème signalé, offrant plus que des alertes binaires.
«Cela permet des résultats plus intelligents et de confiance élevés», a déclaré Sanchit Vir Gogia, analyste en chef et PDG de Greyhound Research. «Cela est particulièrement pertinent à mesure que le développement axé sur le Genai, souvent appelé« codage d’ambiance », augmente la vitesse et la complexité du code. Pour vraiment remodeler les devsecops d’entreprise, Claude doit prouver sa résilience à grande échelle sur des bases de code, des modèles de menace sur mesure et des mandats de conformité variables.»
Les critiques automatisées de Claude pourraient également aider les équipes à rationaliser la sécurité précoce sans surbarner les experts humains.
« La fonction d’examen de code sécurisé de Claude peut améliorer de manière significative les flux de travail DevSecops Enterprise en automatisant l’un des aspects les plus longs du pipeline, c’est-à-dire des revues de sécurité manuelle », a déclaré Oishi Mazumder, analyste principal chez Everest Group. «En permettant aux développeurs d’initier des revues en utilisant des invites en langage naturel pendant le développement, il accélère les pratiques de sécurité à gauche et incorpore la sécurité plus tôt dans le SDLC.»
Contrôles de sécurité prêts pour le pipeline
Anthropic a déclaré que sa nouvelle action GitHub pour le code Claude améliore les avis de sécurité automatisés en analysant chaque demande de traction lors de son ouverture.
L’outil s’exécute automatiquement, analyse le code change pour les vulnérabilités et applique des règles personnalisables pour réduire les faux positifs et filtrer les problèmes connus. Il publie ensuite des commentaires en ligne avec des correctifs recommandés directement dans la demande de traction.
La fonctionnalité vise à normaliser les avis de sécurité entre les équipes de développement et à empêcher le code sans sécurité d’atteindre la production. Il s’intègre aux pipelines CI / CD existants et peut être configuré pour suivre les politiques de sécurité d’une organisation, selon Anthropic.
Les analystes disent que cela représente un changement dans la façon dont l’IA générative est utilisée dans le développement de logiciels. Au lieu d’agir uniquement en tant qu’assistant de codage, des outils comme Claude commencent à jouer un rôle dans l’application de la sécurité et la gouvernance.
« GitHub Copilot reste un programmeur de paires d’IA populaire et n’a ajouté que récemment des suggestions de sécurité au niveau de la demande de traction », a déclaré Gogia. « Microsoft Security Copilot, bien que robuste dans les environnements SOC riche en télémétrie, manque toujours d’intégration profonde avec l’outillage de développement. L’assistance au code Gemini de Google fournit une forte résumé du code et des améliorations de qualité, mais sa profondeur de détection de vulnérabilité reste non testée dans des environnements hautement réglementés. »
Avantages et risques pour les entreprises
Bien que les revues de code assistées par l’IA puissent augmenter l’efficacité, les analystes mettent en garde qu’ils introduisent également de nouveaux risques que les équipes d’entreprise doivent gérer attentivement.
«Le plus grand risque avec l’outillage de sécurité de l’IA d’entreprise réside dans la maîtrise de la précision avec la précision», a souligné Gogia. «Le code Claude, comme d’autres outils basés sur LLM, peut offrir des conclusions bien articulées mais factuellement incorrectes. Cela peut créer un faux sentiment de sécurité qui sape les protocoles de révision établies.»
Pour réaliser pleinement la valeur du code Claude, les entreprises devront intégrer ses sorties dans des contrôles SDLC structurés, y compris les vérifications de la conformité, la surveillance manuelle et la documentation prête à l’audit.
