Best PracticeFeb 8, 2026

امنیت کد کلود: مجوز، Sandbox و استفاده امن

کد کلود دارای یک سیستم مجوز است که به شما اجازه می دهد دقیقا همان چیزی را که AI می تواند و نمی تواند انجام دهد، کنترل کنید. در اینجا چگونگی پیکربندی آن برای توسعه ایمن است.

کد کلود دستورات را اجرا می کند و فایل ها را در محیط شما ویرایش می کند. این قدرت نیازمند محافظان است. سیستم مجوز به شما اجازه می دهد دقیقاً تعریف کنید که کد کلود چه چیزی را می تواند تغییر دهد و چه اقداماتی نیاز به تایید صریح شما دارد.

سیستم مجوز کد کلود چگونه کار می کند؟?

کد کلود دارای سه حالت مجوز است که کنترل می کند که چقدر استقلال عامل به دست می آید:

حالت Mode Mode	رفتار	بهترین برای
عادی	درخواست مجوز برای هر ابزار استفاده	یادگیری، کد پایه های حساس
Auto-Accept	اقدامات ایمن را امتحان کنید، از افراد خطرناک بپرسید	توسعه روزانه
برنامه Mode	برنامه ها تغییر می کنند، قبل از اجرای	بررسی کد، تغییرات معماری

چگونه می توانید قوانین اجازه / دریافت را تنظیم کنید؟?

مجوز های ریشه دار در تنظیمات تنظیم شده است.json. از الگوهای glob برای کنترل فایل ها و دستورات استفاده کنید کد کلود می تواند دسترسی داشته باشد:

// .claude/settings.json
{
  "permissions": {
    "allow": [
      "Read:**",
      "Edit:src/**",
      "Edit:tests/**",
      "Bash:npm run *",
      "Bash:git *"
    ],
    "deny": [
      "Edit:.env*",
      "Edit:*.secret",
      "Edit:credentials/**",
      "Bash:rm -rf *",
      "Bash:curl * | bash",
      "Bash:git push --force*"
    ]
  }
}

چه فایل هایی باید همیشه محافظت کنید؟?

+فایل های .env و .env. * (کدهای API، اعتبار پایگاه داده)
+اعتبار /، اسرار / یا هر دایرکتوری با داده های حساس
+فایل های پیکربندی CI / CD (.github / جریان کار /، .gitlab-ci.yml)
+فایل های زیربنایی (terraform / docker-compose.prod.yml)
+پیکربندی اعتبار (auth.config.ts، تنظیمات oauth)

Sandbox چگونه کار می کند؟?

کد کلود از Sandbox سیستم فایل برای محدود کردن جایی که نماینده می تواند کار کند استفاده می کند. به طور پیش فرض، فقط می تواند به فایل های داخل دایرکتوری پروژه شما دسترسی داشته باشد. شما می توانید این را با قوانین اجازه / پذیرش محدود کنید.

# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories

# Add extra directories if needed:
claude --add-dir /path/to/shared/library

بهترین روش های امنیتی برای کد کلود چیست؟?

+همیشه از فایل های .env با قوانین انکار محافظت کنید
+استفاده از حالت عادی در هنگام کار بر روی کد حساس برای اولین بار
+قبل از اجازه دادن به تعهدات (برنامه ریزی حالت برای این کار عالی است)
+تنظیم - حداکثر بودجه برای جلوگیری از هزینه های فرار
+استفاده از ابزارهای مجاز در مهارت ها برای محدود کردن آنچه هر مهارت می تواند انجام دهد
+مجوزهای سرور MCP خود را بررسی کنید (از اتصالات داده فقط خواندنی استفاده کنید)
+هرگز استفاده نکنید – به طور خطرناک-skip-permissions در خارج از CI/CD

سوالات اغلب پرسیده می شود

بازگشت به وبلاگ شروع رایگان - ماژول 1 →