Best PracticeFeb 8, 2026

Claude Code Security: Permissions, Sandboxing, and Safe Usage

לקוד של קלוד יש מערכת הרשאות שמאפשרת לך לשלוט בדיוק מה יכול AI ולא יכול לעשות. הנה איך להגדיר אותו לפיתוח בטוח.

קוד קלוד פועל פקודות ועורך קבצים בסביבה שלך. הכוח הזה דורש שמירה. מערכת הרשאות מאפשרת לך להגדיר בדיוק מה קוד קלוד יכול לגשת, מה הוא יכול לשנות, ומה הפעולות דורש אישור מפורש שלך.

כיצד פועלת מערכת אישור קוד קלוד?

לקוד קלוד יש שלושה מצבי רשות ששולטים בכמה אוטונומיה הסוכן מקבל:

מצב	התנהגות	הטוב ביותר
נורמלי	לבקש רשות לכל כלי	למידה, קוד רגיש
Auto-Accept	שיפור פעולות בטוחות, מבקש סיכונים	פיתוח יומי
תוכנית מצב	תוכניות משתנות, מחכה לאישור לפני ביצוע	ביקורת קוד, אדריכלות שינויים

איך אתה מגדיר כללים / דין?

הרשאות גנובות מוגדרות בהגדרות.json. השתמש בדפוסי glob כדי לשלוט באילו קבצים ופקודות קוד קלוד יכול לגשת:

// .claude/settings.json
{
  "permissions": {
    "allow": [
      "Read:**",
      "Edit:src/**",
      "Edit:tests/**",
      "Bash:npm run *",
      "Bash:git *"
    ],
    "deny": [
      "Edit:.env*",
      "Edit:*.secret",
      "Edit:credentials/**",
      "Bash:rm -rf *",
      "Bash:curl * | bash",
      "Bash:git push --force*"
    ]
  }
}

אילו קבצים צריך תמיד להגן?

+.env ו .env. * קבצים (מפתחי API, אישורי מסד נתונים)
+אישורים / סודות / או כל מנהל עם נתונים רגישים
+קבצי תצורה CI/CD (.github/workflows/, .gitlab-ci.yml)
+קבצי תשתיות (terraform/, docker-compose.prod.yml)
+תצורה של Authentication (authconfig.ts, הגדרות oauth)

כיצד פועל ארגז חול?

קלוד קוד משתמש בתיבת חול של מערכת קבצים כדי להגביל היכן הסוכן יכול לפעול. כברירת מחדל, זה יכול רק לגשת קבצים בתוך מנהל הפרויקט שלך. אתה יכול להגביל את זה עם כללים אפשריים /deny.

# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories

# Add extra directories if needed:
claude --add-dir /path/to/shared/library

מהם שיטות האבטחה הטובות ביותר לקוד קלוד?

+תמיד להגן על קבצים עם חוקים
+השתמש במצב נורמלי בעת עבודה על קוד רגיש בפעם הראשונה
+עיין בקובע לפני שהוא מאפשר לבצע (מצב פנינה הוא נהדר עבור זה)
+המונחים:max-budget-usd to Prevention Cost
+השתמש בחומרים מותרים במיומנויות כדי להגביל את מה שכל מיומנות יכולה לעשות
+בדוק את הרשאות של שרת MCP (באמצעות חיבורי מסד נתונים לקריאה בלבד)
+לעולם אל תשתמשו ב-skip-missions מחוץ ל- CI/CD

שאלות נפוצות

חזרה לבלוג התחל חינם - מודול 1 →