← BLOG
Best Practice

Zabezpečení kódu Claude: Oprávnění, sandboxing a bezpečné použití

Claude Code má autorizační systém, který vám umožní kontrolovat přesně to, co AI může a nemůže dělat. Zde je, jak jej nastavit pro bezpečný vývoj.

Claude Code řídí příkazy a edituje soubory ve Vašem prostředí. Ta moc vyžaduje zábradlí. Systém povolení vám umožní přesně definovat, k čemu má Claude Code přístup, co může změnit a jaké akce vyžadují vaše výslovné schválení.

Jak funguje Claudův kód?

Claude Code má tři režimy povolení, které kontrolují, kolik autonomie agent dostane:

RežimChováníNejlepší pro
NormálníPožádá o povolení pro každé použití nástrojeUčení, citlivé kodebase
Automaticky přijmoutSchvaluje bezpečné akce, žádá rizikovéDenní vývoj
Režim plánuPlány se mění, čeká na schválení před provedenímPřezkum kodexu, změny architektury

Jak nakonfigurujete povolená / popřená pravidla?

Fine- grained oprávnění jsou stanoveny v settings.json. Použít glob vzory pro kontrolu, které soubory a příkazy Claude Code má přístup:

// .claude/settings.json
{
  "permissions": {
    "allow": [
      "Read:**",
      "Edit:src/**",
      "Edit:tests/**",
      "Bash:npm run *",
      "Bash:git *"
    ],
    "deny": [
      "Edit:.env*",
      "Edit:*.secret",
      "Edit:credentials/**",
      "Bash:rm -rf *",
      "Bash:curl * | bash",
      "Bash:git push --force*"
    ]
  }
}

Jaké soubory byste měli vždy chránit?

  • +.env a .env. * soubory (API klíče, databáze pověření)
  • +pověření /, tajemství /, nebo jakýkoli adresář s citlivými údaji
  • +Konfigurační soubory CI / CD (.github / workflow /, .gitlab-ci.yml)
  • +Infrastruktura souborů (terraform /, docker- compa.produc.yml)
  • +Autentizace konfigurace (auth.config.ts, oauth nastavení)

Jak funguje pískování?

Claude Code používá souborový systém a box k omezení toho, kde agent může pracovat. Ve výchozím nastavení má přístup pouze k souborům v adresáři vašeho projektu. Můžete to dále omezit povolením / zamítnutím pravidel.

# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories

# Add extra directories if needed:
claude --add-dir /path/to/shared/library

Jaké jsou nejlepší bezpečnostní postupy pro Claude Code?

  • +Vždy chraňte soubory .env pomocí pravidel odmítnutí
  • +Při první práci s citlivým kódem použijte normální režim
  • +Zobrazit rozdíl před povolením revizí (Plan Mode je pro to skvělý)
  • +Nastavit - max- budget- usd pro prevenci nákladů na útěk
  • +Pomocí povolených nástrojů ve dovednostech omezit to, co každá dovednost může udělat
  • +Audit vašich MCP serverů oprávnění (použít jen pro čtení databázových připojení)
  • +Nikdy nepoužívejte -- nebezpečné -skip-oprávnění mimo CI / CD

Často kladené otázky

← Zpět na blogSpustit zdarma - Modul 1