We hebben zojuist Claude Code Security uitgerold in een klantproject. Dit moet je weten.

AI-gestuurde beveiligingstools zijn al een tijd onderwerp van gesprek. We hebben de ontwikkelingen nauw gevolgd, meerdere opties getest en onlangs besloten: we hebben Claude Code Security in productie uitgerold op een klantproject.
Dit is geen productaanbeveling. Het is een eerlijke terugblik — wat de tool doet, waar hij sterk in is, waar de grenzen liggen en hoe hij zich verhoudt tot wat er verder op de markt is. We komen later met een verdiepend stuk over onze praktijkervaring zodra we meer data hebben.

Wat is Claude Code Security?

Claude Code Security (CCS) is een functie binnen Claude Code, ontwikkeld door Anthropic. Het scant codebases op beveiligingskwetsbaarheden en doet gerichte softwarepatches als voorstel voor menselijke review — voordat er ook maar iets wordt toegepast.

Het belangrijkste verschil met traditionele statische analysetools: CCS vergelijkt code niet alleen met bekende kwetsbaarheidspatronen. Het leest en redeneert over de code zoals een security-analist dat zou doen — begrijpt hoe componenten samenwerken, hoe data door de applicatie stroomt en vangt complexe kwetsbaarheden die regelgebaseerde tools vaak missen.

Elke bevinding doorloopt een verificatieproces in meerdere stappen. Claude bekijkt zijn eigen resultaten opnieuw, probeert ze te bewijzen of te weerleggen en kent een ernstniveau toe zodat teams zich eerst op het belangrijkste kunnen richten. Gevalideerde bevindingen verschijnen in een dashboard waar ontwikkelaars kunnen reviewen, de voorgestelde fix bekijken en goedkeuren. Niets wordt toegepast zonder menselijke goedkeuring.

Op dit moment is het beschikbaar als een beperkte research-preview voor Enterprise- en Team-klanten, met versnelde toegang voor maintainers van open-source repositories.

Waarom dit belangrijk is voor enterprise development

Securityteams kampen met een structureel probleem: te veel kwetsbaarheden, te weinig mensen om ze te beoordelen. Bestaande statische analysetools zijn goed in het vinden van bekende patronen — blootliggende wachtwoorden, verouderde encryptie. Maar de subtiele, contextafhankelijke kwetsbaarheden die aanvallers daadwerkelijk misbruiken, vragen om ervaren menselijke onderzoekers. En die zijn schaars en duur.

CCS overbrugt de kloof tussen geautomatiseerd scannen en menselijke review. Het vervangt je securityteam niet. Het geeft ze een beter gefilterde werkvoorraad om vanuit te werken.
 

Voor enterprises die met gereguleerde data werken — financiële dienstverlening, zorg, maakindustrie — is dit geen nice-to-have. De kosten van een datalek, zowel financieel als qua reputatie, lopen in de miljoenen. Tools die de tijd tussen het ontstaan en het detecteren van een kwetsbaarheid verkorten, leveren directe businesswaarde op.

De voordelen

Contextbewuste analyse. CCS begrijpt applicatielogica, niet alleen syntaxis. Het vindt zaken als gebrekkige toegangscontrole of foutieve businesslogica die pattern-matchingtools steevast missen.
Minder false-positive ruis. De verificatie in meerdere stappen filtert bevindingen weg die onder kritische blik niet standhouden. Ontwikkelaars verspillen minder tijd aan doodlopende sporen.
Menselijke controle is ingebouwd. Er wordt niets automatisch toegepast. Elke suggestie vereist goedkeuring door een ontwikkelaar. Voor enterprise-klanten met strikte change-managementprocessen is dat belangrijk.
Zekerheidsniveaus per bevinding. CCS geeft aan hoe zeker het van elk resultaat is. Zo kunnen teams effectief prioriteren in plaats van elke alert gelijk te behandelen.
Integreert met bestaande workflows. Gebouwd op Claude Code sluit het naadloos aan op de review- en iteratieworkflows die teams al gebruiken.

De nadelen

Nog steeds in beperkte preview. CCS is nog niet algemeen beschikbaar. Toegang vereist een Enterprise- of Team-plan en de uitrol verloopt gefaseerd. Niet elk team kan er vandaag mee aan de slag.
AI-beperkingen blijven gelden. Zoals bij elk AI-systeem kan CCS dingen missen en soms bevindingen opleveren die zorgvuldige menselijke duiding vragen. Het verlaagt de reviewlast — het schrapt niet de noodzaak van een competente securityreviewer.
De complexiteit van de codebase beïnvloedt de kwaliteit. Hoe groter en verknopter de codebase, hoe lastiger het voor welke tool dan ook — AI of niet — is om alle datastromen precies te volgen. Resultaten verbeteren met een schonere architectuur en goed gestructureerde code.
Geen vervanging voor security-architectuur. CCS vindt kwetsbaarheden in code. Het ontwerpt geen veilige systemen, beheert geen toegangsbeleid en vervangt geen breder securityprogramma. Het is één laag in een defense-in-depth-aanpak.
Onzekerheid over kosten en toegang. Prijzen voor preview-toegang en toekomstige GA-niveaus zijn nog niet volledig transparant. Budgetteren is lastiger zolang het commerciële model nog in beweging is.

Hoe het zich verhoudt: vergelijkbare tools op de markt

De markt voor AI-ondersteunde securityscanning groeit snel. Dit is een kort overzicht van wat er nog meer is:

• GitHub Advanced Security (GHAS) — integreert direct in GitHub-workflows met CodeQL voor semantische code-analyse. Volwassen, breed geadopteerd, sterk voor teams die al op GitHub zitten. Minder gericht op door AI gegenereerde patchsuggesties.
• Snyk — sterk in dependency- en containerkwetsbaarheidsscans. Uitstekende, ontwikkelaarsvriendelijke UX en brede ecosysteemondersteuning. Minder nadruk op contextafhankelijke logische fouten in applicatiecode.
• Checkmarx — SAST op enterprise-niveau met diepe aanpasbaarheid. Krachtig maar complex om te configureren. Beter geschikt voor grote securityteams met dedicated AppSec-capaciteit.
• Semgrep — snelle, aanpasbare statische analyse met een sterke open-source community. Regelgebaseerd, wat betekent dat het zo goed is als de regels die je schrijft of overneemt. Geen AI-native redeneringslaag.
• SonarQube — breed gebruikt voor codekwaliteit en security. Goede basisdekking, sterke CI/CD-integratie, maar primair patroongebaseerd. De AI-features zijn nieuwer en nog in ontwikkeling.
• Veracode — SAST en DAST op enterprise-niveau met een lange staat van dienst. Grondig, maar trager te integreren en zwaar voor teams die wendbare securityscans willen.

Elk van deze tools heeft z’n plek. De keuze hangt af van je stack, je dreigingsmodel, de capaciteit van je team en je compliance-eisen. CCS neemt een specifieke positie in: AI-native redeneren over codelogica, met human-in-the-loop patchsuggesties. Dat is anders dan de meeste van het bovenstaande.

Waarom wij voor Claude Code Security kozen

Na het afwegen van de opties hebben we ervoor gekozen CCS op een klantproject uit te rollen om een specifieke reden: de complexiteit van de codebase zorgde ervoor dat pattern-matchingtools veel ruis produceerden terwijl de lastigere logische fouten juist gemist werden. We hadden iets nodig dat over de applicatie kan redeneren, niet alleen kan scannen.

Het model met menselijke goedkeuring sloot bovendien aan bij de change-managementeisen van onze klant. Geen automatische patching, volledige ontwikkelaarscontrole, en bevindingen die auditbaar zijn.

We noemen het niet dé definitieve oplossing. Het is een tool die goed paste bij een specifiek probleem. We volgen de resultaten nauwgezet.

Wat volgt

We publiceren een vervolgpost met concrete observaties uit de uitrol — wat CCS vond, wat het miste, hoe het de reviewworkflow van het team beïnvloedde en of de bevindingen standhielden in onze eigen securityreview. We geven je een eerlijk advies over wat in jouw situatie logisch is.

Artikel gebaseerd op: https://www.anthropic.com/news/claude-code-security.