← BLOG
Best Practice

Claude Code Security: Άδειες, Sandboxing και ασφαλή χρήση

Ο κώδικας Claude έχει ένα σύστημα άδειας που σας επιτρέπει να ελέγχετε ακριβώς τι μπορεί και τι δεν μπορεί να κάνει η τεχνητή νοημοσύνη. Εδώ είναι πώς να το ρυθμίσετε για την ασφαλή ανάπτυξη.

Ο κώδικας Claude τρέχει εντολές και επεξεργάζεται αρχεία στο περιβάλλον σας. Αυτή η δύναμη απαιτεί κουπιά. Το σύστημα αδειών σας επιτρέπει να ορίσετε ακριβώς τι Claude Code μπορεί να έχει πρόσβαση, τι μπορεί να τροποποιήσει, και ποιες ενέργειες απαιτούν τη ρητή έγκρισή σας.

Πώς λειτουργεί το σύστημα αδειών Claude Code?

Claude Code έχει τρεις τρόπους άδειας που ελέγχουν πόση αυτονομία παίρνει ο πράκτορας:

ΛειτουργίαΣυμπεριφοράΚαλύτερα για
ΚανονικόΖητά άδεια για κάθε χρήση εργαλείουΜάθηση, ευαίσθητες βάσεις κώδικα
Αυτόματη αποδοχήΕγκρίνει ασφαλείς ενέργειες, ζητάει επικίνδυνες ενέργειεςΗμερήσια ανάπτυξη
Λειτουργία σχεδίουΤα σχέδια αλλάζουν, περιμένουν την έγκριση πριν την εκτέλεσηΑνασκόπηση κώδικα, αλλαγές αρχιτεκτονικής

Πώς μπορείτε να ρυθμίσετε τους κανόνες επιτρέπει / άρνηση?

Οι άδειες με λεπτόκοκκο έχουν οριστεί στις ρυθμίσεις.Json. Χρήση προτύπων glob για τον έλεγχο των αρχείων και των εντολών Ο κώδικας Claude μπορεί να έχει πρόσβαση:

// .claude/settings.json
{
  "permissions": {
    "allow": [
      "Read:**",
      "Edit:src/**",
      "Edit:tests/**",
      "Bash:npm run *",
      "Bash:git *"
    ],
    "deny": [
      "Edit:.env*",
      "Edit:*.secret",
      "Edit:credentials/**",
      "Bash:rm -rf *",
      "Bash:curl * | bash",
      "Bash:git push --force*"
    ]
  }
}

Ποια αρχεία πρέπει πάντα να προστατεύεις?

  • +αρχεία .env και .env.* (κλειδιά API, διαπιστευτήρια βάσεων δεδομένων)
  • +διαπιστευτήρια/, μυστικά/, ή οποιοδήποτε κατάλογο με ευαίσθητα δεδομένα
  • +Αρχεία ρυθμίσεων CI/CD (. github/ροές εργασίας/, . gitlab-ci.yml)
  • +Αρχεία υποδομής (terraform/, docker-compose.prod.yml)
  • +Configuration ταυτοποίησης (auth.config.ts, ρυθμίσεις oauth)

Πώς λειτουργεί το sandboxing?

Ο κώδικας Claude χρησιμοποιεί σύστημα αρχείων sandboxing για να περιορίσει το πού μπορεί να λειτουργήσει ο πράκτορας. Εξ ορισμού, μπορεί να έχει πρόσβαση μόνο σε αρχεία μέσα στον κατάλογο έργων σας. Μπορείτε να το περιορίσετε περαιτέρω με κανόνες άδειας / άρνησης.

# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories

# Add extra directories if needed:
claude --add-dir /path/to/shared/library

Ποιες είναι οι βέλτιστες πρακτικές ασφάλειας για τον κώδικα Claude?

  • +Πάντα προστασία .env αρχεία με κανόνες άρνησης
  • +Χρήση κανονικής λειτουργίας κατά την εργασία σε ευαίσθητο κώδικα για πρώτη φορά
  • +Επανεξέταση του diff πριν από την έγκριση των δεσμεύσεων (Plan Mode είναι μεγάλη για αυτό)
  • +Ορισμός -- μέγιστου προϋπολογισμού-χρησιμοποιείται για την πρόληψη των διαφυγόντων δαπανών
  • +Χρήση επιτρεπόμενων εργαλείων στις δεξιότητες για τον περιορισμό του τι μπορεί να κάνει κάθε ικανότητα
  • +Έλεγχος αδειών διακομιστή MCP σας (χρήση μόνο για ανάγνωση συνδέσεις βάσης δεδομένων)
  • +Ποτέ μην χρησιμοποιείτε -- επικίνδυνα-απαγορευμένες άδειες εκτός CI/CD

Συχνές ερωτήσεις

← Επιστροφή στο blogΧωρίς εκκίνηση — Ενότητα 1