بازگشت به وبلاگ
Best Practice·Code Velocity Academy

امنیت کد کلود: مجوز، Sandbox و استفاده امن

کد کلود دارای یک سیستم مجوز است که به شما اجازه می دهد دقیقا همان چیزی را که AI می تواند و نمی تواند انجام دهد، کنترل کنید. در اینجا چگونگی پیکربندی آن برای توسعه ایمن است.

کد کلود دستورات را اجرا می کند و فایل ها را در محیط شما ویرایش می کند. این قدرت نیازمند محافظان است. سیستم مجوز به شما اجازه می دهد دقیقاً تعریف کنید که کد کلود چه چیزی را می تواند تغییر دهد و چه اقداماتی نیاز به تایید صریح شما دارد.

سیستم مجوز کد کلود چگونه کار می کند؟?

کد کلود دارای سه حالت مجوز است که کنترل می کند که چقدر استقلال عامل به دست می آید:

حالت Mode Modeرفتاربهترین برای
عادیدرخواست مجوز برای هر ابزار استفادهیادگیری، کد پایه های حساس
پذیرش خودکاراقدامات ایمن را تأیید می کند، اقدامات خطرناک را درخواست می کندتوسعه روزانه
حالت پلانبرنامه ها تغییر می کند، قبل از اجرا منتظر تایید استبررسی کد، تغییرات معماری

چگونه می توانید قوانین اجازه / دریافت را تنظیم کنید؟?

مجوز های ریشه دار در تنظیمات تنظیم شده است.json. از الگوهای glob برای کنترل فایل ها و دستورات استفاده کنید کد کلود می تواند دسترسی داشته باشد:

json
// .claude/settings.json
{
  "permissions": {
    "allow": [
      "Read:**",
      "Edit:src/**",
      "Edit:tests/**",
      "Bash:npm run *",
      "Bash:git *"
    ],
    "deny": [
      "Edit:.env*",
      "Edit:*.secret",
      "Edit:credentials/**",
      "Bash:rm -rf *",
      "Bash:curl * | bash",
      "Bash:git push --force*"
    ]
  }
}

چه فایل هایی باید همیشه محافظت کنید؟?

  • +فایل های .env و .env. * (کدهای API، اعتبار پایگاه داده)
  • +اعتبار /، اسرار / یا هر دایرکتوری با داده های حساس
  • +فایل های پیکربندی CI / CD (.github / جریان کار /، .gitlab-ci.yml)
  • +فایل های زیربنایی (terraform / docker-compose.prod.yml)
  • +پیکربندی اعتبار (auth.config.ts، تنظیمات oauth)

Sandbox چگونه کار می کند؟?

کد کلود از Sandbox سیستم فایل برای محدود کردن جایی که نماینده می تواند کار کند استفاده می کند. به طور پیش فرض، فقط می تواند به فایل های داخل دایرکتوری پروژه شما دسترسی داشته باشد. شما می توانید این را با قوانین اجازه / پذیرش محدود کنید.

bash
# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories

# Add extra directories if needed:
claude --add-dir /path/to/shared/library

بهترین روش های امنیتی برای کد کلود چیست؟?

  • +همیشه از فایل های .env با قوانین انکار محافظت کنید
  • +استفاده از حالت عادی در هنگام کار بر روی کد حساس برای اولین بار
  • +قبل از اجازه دادن به تعهدات (برنامه ریزی حالت برای این کار عالی است)
  • +تنظیم - حداکثر بودجه برای جلوگیری از هزینه های فرار
  • +استفاده از ابزارهای مجاز در مهارت ها برای محدود کردن آنچه هر مهارت می تواند انجام دهد
  • +مجوزهای سرور MCP خود را بررسی کنید (از اتصالات داده فقط خواندنی استفاده کنید)
  • +هرگز استفاده نکنید – به طور خطرناک-skip-permissions در خارج از CI/CD

سوالات اغلب پرسیده می شود

Related resources

Glossary
Tools

Related posts

I Replaced My Entire Debug Workflow With One Command
Workflow · Apr 5, 2026
Coding Agentic چیست؟ تغییر از چت به Auto AI
Concept · Mar 1, 2026
The Hidden Cost of Manual Code Reviews (And How to Cut It by 67%)
Career · Apr 3, 2026

آماده‌اید دست از کدنویسی کند بردارید؟

37 درس. پروژه‌های واقعی. از اولین نصب تا ارسال قابلیت‌ها با Claude Code. ماژول 1 رایگان است.

شروع رایگان - ماژول 1
بازگشت به وبلاگشروع رایگان - ماژول 1