أمان كود كلود: الأذونات ووضع الحماية والاستخدام الآمن
لدى Claude Code نظام أذونات يتيح لك التحكم الدقيق في ما يمكن للذكاء الاصطناعي فعله وما لا يمكنه فعله. إليك كيفية تكوينه للتطوير الآمن.
Claude Code runs commands and edits files in your environment. That power requires guardrails. The permission system lets you define exactly what Claude Code can access, what it can modify, and what actions require your explicit approval.
كيف يعمل نظام أذونات كلود كود؟
لدى Claude Code ثلاثة أوضاع إذن تتحكم في مقدار الاستقلالية التي يحصل عليها الوكيل:
| وضع | سلوك | الأفضل ل |
|---|---|---|
| Normal | يطلب الإذن لكل استخدام للأداة | التعلم، قواعد التعليمات البرمجية الحساسة |
| قبول تلقائي | يوافق على الإجراءات الآمنة، ويسأل عن الإجراءات المحفوفة بالمخاطر | التطوير اليومي |
| وضع الخطة | تتغير الخطط، وتنتظر الموافقة قبل التنفيذ | مراجعة الكود وتغييرات البنية |
How do you configure allow/deny rules?
يتم تعيين الأذونات الدقيقة في settings.json. استخدم الأنماط الشاملة للتحكم في الملفات والأوامر التي يمكن لـ Claude Code الوصول إليها:
// .claude/settings.json
{
"permissions": {
"allow": [
"Read:**",
"Edit:src/**",
"Edit:tests/**",
"Bash:npm run *",
"Bash:git *"
],
"deny": [
"Edit:.env*",
"Edit:*.secret",
"Edit:credentials/**",
"Bash:rm -rf *",
"Bash:curl * | bash",
"Bash:git push --force*"
]
}
}ما هي الملفات التي يجب عليك حمايتها دائما؟
- +ملفات .env و.env.* (مفاتيح واجهة برمجة التطبيقات، وبيانات اعتماد قاعدة البيانات)
- +credentials/, secrets/, or any directory with sensitive data
- +CI/CD configuration files (.github/workflows/, .gitlab-ci.yml)
- +Infrastructure files (terraform/, docker-compose.prod.yml)
- +تكوين المصادقة (auth.config.ts، إعدادات oauth)
كيف يعمل وضع الحماية؟
Claude Code uses filesystem sandboxing to restrict where the agent can operate. By default, it can only access files within your project directory. You can further restrict this with allow/deny rules.
# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories
# Add extra directories if needed:
claude --add-dir /path/to/shared/libraryما هي أفضل الممارسات الأمنية لكلود كود؟
- +قم دائمًا بحماية ملفات .env بقواعد الرفض
- +استخدم الوضع العادي عند العمل على تعليمات برمجية حساسة لأول مرة
- +راجع الفرق قبل السماح بالالتزامات (وضع الخطة رائع لهذا الغرض)
- +قم بتعيين --max-budget-usd لمنع التكاليف الهاربة
- +Use allowed-tools in Skills to limit what each skill can do
- +قم بمراجعة أذونات خادم MCP (استخدم اتصالات قاعدة البيانات للقراءة فقط)
- +Never use --dangerously-skip-permissions outside of CI/CD