Vi har nettopp rullet ut Claude Code Security i et kundeprosjekt: dette bør du vite

AI-drevne sikkerhetsverktøy har vært et tema en stund. Vi har fulgt feltet tett, testet flere alternativer og nylig tatt en avgjørelse: Vi rullet ut Claude Code Security i produksjon på ett av våre kundeprosjekter.
Dette innlegget er ikke en produktanbefaling. Det er en ærlig redegjørelse — hva verktøyet gjør, hvor det er sterkt, hvor det har begrensninger, og hvordan det står seg mot det som ellers finnes i markedet. Vi kommer tilbake med en grundigere artikkel om erfaringene våre i praksis når vi har mer data.

Hva er Claude Code Security?

Claude Code Security (CCS) er en funksjon bygget inn i Claude Code, utviklet av Anthropic. Det skanner kodebaser for sikkerhetssårbarheter og foreslår målrettede programvarepatcher for menneskelig gjennomgang — før noe blir tatt i bruk.

Den viktigste forskjellen fra tradisjonelle verktøy for statisk analyse: CCS nøyer seg ikke med å matche kode mot kjente sårbarhetsmønstre. Det leser og resonerer om koden slik en sikkerhetsanalytiker ville — forstår hvordan komponenter samhandler, hvordan data flyter gjennom applikasjonen, og fanger opp komplekse sårbarheter som regelbaserte verktøy ofte overser.

Hvert funn går gjennom en flertrinns verifiseringsprosess. Claude gjennomgår egne resultater på nytt, forsøker å bekrefte eller avkrefte dem, og setter alvorlighetsgrader slik at teamene kan prioritere det viktigste først. Validerte funn vises i et dashbord der utviklere kan gjennomgå, inspisere den foreslåtte rettelsen og godkjenne. Ingenting blir tatt i bruk uten menneskelig godkjenning.

Akkurat nå er det tilgjengelig som en begrenset research preview for Enterprise- og Team-kunder, med raskere tilgang for maintainere av open-source-repositorier.

Hvorfor dette er viktig for enterprise-utvikling

Sikkerhetsteam står overfor et strukturelt problem: for mange sårbarheter, for få mennesker til å gå gjennom dem. Eksisterende verktøy for statisk analyse er flinke til å fange kjente mønstre — eksponerte passord, utdatert kryptering. Men de subtile, kontekstavhengige sårbarhetene som angripere faktisk utnytter, krever dyktige sikkerhetsforskere. De er dyre, og det er mangel på dem.

CCS tetter gapet mellom automatisert skanning og menneskelig gjennomgang. Det erstatter ikke sikkerhetsteamet ditt. Det gir dem en bedre filtrert kø å jobbe fra.
 

For virksomheter som håndterer regulerte data — finans, helse, industri — er dette ikke bare «kjekt å ha». Kostnaden ved et brudd, både økonomisk og omdømmemessig, måles i millioner. Verktøy som reduserer tiden fra en sårbarhet introduseres til den oppdages, har direkte forretningsverdi.

Fordeler

Kontekstbevisst analyse. CCS forstår applikasjonslogikk, ikke bare syntaks. Det fanger opp ting som brutt tilgangskontroll eller feil i forretningslogikk som mønstergjenkjennende verktøy rutinemessig overser.
Færre falske positiver. Flertrinns verifisering filtrerer bort funn som ikke holder under nærmere ettersyn. Utviklere bruker mindre tid på blindspor.
Menneskelig kontroll er innebygd. Ingenting blir anvendt automatisk. Hvert forslag krever godkjenning fra utviklere. For enterprise-kunder med strenge change-management-prosesser betyr dette mye.
Konfidensgrad per funn. CCS angir hvor sikker den er på hvert resultat. Dette hjelper team å triagere effektivt i stedet for å behandle alle varsler likt.
Integreres i eksisterende arbeidsflyter. Bygget på Claude Code passer det inn i gjennomgangs- og iterasjonsflytene teamene allerede bruker.

Ulemper

Fortsatt i begrenset preview. CCS er ikke generelt tilgjengelig. Tilgang krever en Enterprise- eller Team-plan, og utrullingen er gradvis. Ikke alle team kan bruke det i dag.
Vanlige AI-begrensninger gjelder. Som alle AI-systemer kan CCS overse ting og av og til presentere funn som krever nøye menneskelig vurdering å tolke. Det reduserer arbeidsmengden i gjennomgang — det eliminerer ikke behovet for en kompetent sikkerhetsgransker.
Kompleksiteten i kodebasen påvirker kvaliteten. Jo større og mer sammenfiltret kodebasen er, desto vanskeligere er det for ethvert verktøy — AI eller ikke — å spore alle dataflyter nøyaktig. Resultatene blir bedre med renere arkitektur og godt strukturert kode.
Ikke en erstatning for sikkerhetsarkitektur. CCS finner sårbarheter i kode. Det designer ikke sikre systemer, håndterer ikke tilgangspolicyer, og erstatter ikke et bredere sikkerhetsprogram. Det er ett lag i en defense-in-depth-tilnærming.
Usikkerhet rundt kostnad og tilgang. Prisingen for preview-tilgang og fremtidige GA-nivåer er ikke helt transparent ennå. Budsjettering blir vanskeligere når den kommersielle modellen fortsatt tar form.

Slik står det seg: lignende verktøy på markedet

Markedet for AI-assistert sikkerhetsskanning vokser raskt. Her er en kort oversikt over hva som ellers finnes:

• GitHub Advanced Security (GHAS) — integreres direkte i GitHub-arbeidsflyter med CodeQL for semantisk kodeanalyse. Modent, mye brukt, sterkt for team som allerede er på GitHub. Mindre fokus på AI-genererte patch-forslag.
• Snyk — sterk på sårbarhetsskanning av avhengigheter og containere. Svært utviklervennlig UX og bred økosystemstøtte. Mindre vekt på kontekstavhengige logikkfeil i applikasjonskoden.
• Checkmarx — enterprise-grad SAST med dyp tilpasning. Kraftig, men komplekst å konfigurere. Best egnet for store sikkerhetsteam med dedikerte AppSec-ressurser.
• Semgrep — rask, tilpassbar statisk analyse med et sterkt open-source-miljø. Regelbasert, altså bare så bra som reglene du skriver eller adopterer. Ingen AI-native resoneringslag.
• SonarQube — mye brukt for kodekvalitet og sikkerhet. God grunnleggende dekning, sterk CI/CD-integrasjon, men primært mønsterbasert. AI-funksjonene er nyere og fortsatt i modning.
• Veracode — enterprise SAST og DAST med lang merittliste. Grunnig, men tregere å integrere og tungvint for team som ønsker smidig sikkerhetsskanning.

Hvert av disse verktøyene har sin plass. Valget avhenger av stacken din, trusselmodellen din, teamets kapasitet og dine compliance-krav. CCS inntar en spesifikk posisjon: AI-native resonnering om kodelogikk, med mennesket i loopen for patch-forslag. Det skiller seg fra det meste over.

Hvorfor vi valgte Claude Code Security

Etter å ha evaluert alternativene valgte vi å ta i bruk CCS i et kundeprosjekt av én bestemt grunn: Kompleksiteten i kodebasen gjorde at mønstergjenkjennende verktøy skapte mye støy samtidig som de overså de vanskeligere logikkfeilene. Vi trengte noe som kunne resonnere om applikasjonen, ikke bare skanne den.

Modellen med menneskelig godkjenning passet også med kundens krav til change management. Ingen automatisert patching, full oversikt for utviklere, revisjonssporbare funn.

Vi hevder ikke at dette er den endelige løsningen. Det er et verktøy som passet godt til et spesifikt problem. Vi følger resultatene nøye.

Veien videre

Vi publiserer et oppfølgingsinnlegg med konkrete observasjoner fra utrullingen — hva CCS fanget opp, hva det overså, hvordan det påvirket teamets gjennomgangsarbeidsflyt, og om funnene sto seg i vår egen sikkerhetsgjennomgang. Vi skal gi deg et tydelig svar på hva som gir mening for din situasjon.

Artikkelen er basert på: https://www.anthropic.com/news/claude-code-security.