Padronizando Code Review de Segurança com Claude Code: Implementando um comando security-audit

Se você usa Claude Code para desenvolvimento, pode transformar o modelo em um auditor automático de segurança criando uma Skill personalizada.

Neste artigo você vai aprender:

• O que é uma Skill

• Onde criar dentro do projeto

• Como estruturar corretamente

• Como usar no dia a dia

• Como evoluir para um padrão enterprise

O que é uma Skill no Claude Code

Uma Skill é um comando customizado salvo dentro do seu projeto.
Ela funciona como uma instrução estruturada reutilizável.

Ao invés de repetir sempre:

“Revise este código com foco em segurança, classifique por severidade, sugira patch…”

Você cria um comando chamado:

/security-audit

E ele sempre executa o mesmo padrão de auditoria.

Isso padroniza revisão, melhora governança e reduz erro humano.

Onde Criar a Skill

Na raiz do seu projeto, crie a seguinte estrutura:

.claude/commands/

Estrutura final:

meu-projeto/
 ├── src/
 ├── package.json
 ├── .claude/
 │    └── commands/
 │         └── security-audit.md

O Claude Code reconhece automaticamente qualquer arquivo dentro de .claude/commands como um comando executável.

O nome do arquivo define o nome do comando.

Arquivo:

security-audit.md

Comando disponível:

/security-audit

Criando a Skill de Segurança

Abra o arquivo:

.claude/commands/security-audit.md

Insira o conteúdo abaixo:

# /security-audit

Você é um Especialista Sênior em Application Security.

Sua tarefa é analisar o código fornecido e identificar vulnerabilidades reais com base apenas no que está visível.

## Entrada
$ARGUMENTS

## Regras

- Não invente vulnerabilidades.
- Classifique por severidade:
  - Crítica
  - Alta
  - Média
  - Baixa
- Se for um DIFF, priorize apenas as mudanças.
- Foque em riscos exploráveis.

## Verificações Obrigatórias

1. SQL Injection
2. NoSQL Injection
3. Command Injection
4. XSS
5. CSRF
6. Uso inseguro de eval
7. Execução de comandos do sistema
8. SSRF
9. Secrets hardcoded
10. Path traversal
11. Falhas de autenticação
12. Falhas de autorização
13. Criptografia fraca (MD5, SHA1 sem salt)
14. Dados sensíveis em logs
15. CORS ou CSP mal configurado

## Formato Obrigatório de Saída

### Resumo Executivo

### Achados por Severidade

Para cada achado:
- Título
- Severidade
- Evidência (linha ou trecho)
- Por que é risco
- Cenário de exploração
- Como corrigir
- Patch sugerido

### Recomendações Preventivas

Sugira melhorias estruturais como:
- ESLint rules
- Semgrep
- SAST
- Política de headers
- Boas práticas de autenticação

Salve o arquivo.

A Skill está pronta.

Como Usar

Agora você pode chamar no Claude Code:

Analisar um arquivo:

/security-audit src/controllers/userController.ts

Analisar um trecho colado:

/security-audit
<cole o código aqui>

Analisar um diff:

/security-audit
<cole o git diff aqui>

O modelo seguirá exatamente o padrão definido na Skill.

Por Que Isso É Importante

A maioria das revisões de segurança falha porque:

• Não há padrão

• Cada dev revisa de um jeito

• Falta classificação por severidade

• Não há patch sugerido

• Não há prevenção estruturada

Com a Skill:

• A revisão é consistente

• A severidade é padronizada

• A correção vem pronta

• A prevenção é sugerida

• Você cria governança técnica

Isso transforma o Claude de gerador de código para ferramenta de AppSec assistida.

Evoluindo Para Nível Enterprise

Você pode evoluir essa Skill para:

• Alinhar com OWASP ASVS

• Incluir validação LGPD

• Bloquear leitura de arquivos sensíveis via hook

• Integrar política interna de segurança

• Criar versão específica por stack (Node, PHP, Python, Salesforce)

Você também pode criar múltiplas Skills:

/security-audit-node
/security-audit-php
/security-audit-commerce-cloud

Cada uma especializada na stack.