Claude Code Security: Engedélyek, Sandbox, és biztonságos használat
Claude Code-nak van egy engedélyezési rendszere, ami lehetővé teszi, hogy irányítsa az MI-t, és azt, amire nem képes. Itt van, hogyan kell beállítani a biztonságos fejlesztés.
Claude Code parancsokat és szerkesztéseket futtat a környezetedben. Ehhez a hatalomhoz védőhálók kellenek. Az engedélyezési rendszer lehetővé teszi, hogy pontosan meghatározza, mit tud Claude Kódex hozzáférni, mit módosíthat, és milyen intézkedéseket igényel a kifejezett jóváhagyása.
Hogyan működik a Claude-kód?
Claude Code három engedélyezési mód, amely ellenőrzi, hogy mennyi autonómia az ügynök kap:
| Mód | Viselkedés | A legjobb |
|---|---|---|
| Normál | Minden szerszámhasználat engedélyének kérése | Tanulás, érzékeny kódalapok |
| Auto-elfogadás | Engedélyezi a biztonságos intézkedéseket, kockázatosakat kér | Napi fejlesztés |
| Terv mód | A tervek megváltoznak, a végrehajtást megelőzően jóváhagyásra várnak | Kódfelülvizsgálat, architektúrák |
Hogyan konfigurálja a szabályokat?
A fine-grained jogosítványok a települések.json. Glob minták használata a fájlok és parancsok vezérléséhez Claude Code hozzáférhet:
// .claude/settings.json
{
"permissions": {
"allow": [
"Read:**",
"Edit:src/**",
"Edit:tests/**",
"Bash:npm run *",
"Bash:git *"
],
"deny": [
"Edit:.env*",
"Edit:*.secret",
"Edit:credentials/**",
"Bash:rm -rf *",
"Bash:curl * | bash",
"Bash:git push --force*"
]
}
}Milyen fájlokat kell mindig védeni?
- +.env és .env. * fájlok (API kulcsok, adatbázis adatok)
- +mandátumok /, titkok / vagy bármilyen könyvtár érzékeny adatokkal
- +CI / CD konfigurációs fájlok (.github / workflow /, .gitlab- ci.yml)
- +Infrastruktúra fájlok (terraform /, docker-compose.prod.yml)
- +Hitelesítési konfiguráció (auth.config.ts, outh beállítások)
Hogyan fejti ki hatását a sandbox?
Claude Code fájlrendszer sandbox-ot használ, hogy korlátozza az ügynök működését. Alapértelmezés szerint csak a projekt könyvtárában található fájlokat tudja elérni. Ezt tovább korlátozhatja az engedély / tagadás szabályokkal.
# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories
# Add extra directories if needed:
claude --add-dir /path/to/shared/libraryMelyek a Claude Code biztonsági bevált gyakorlatai?
- +Mindig védje .env fájlokat tagadási szabályok
- +Használjuk a normál módot, amikor először dolgozunk érzékeny kódon
- +Áttekintés a diff előtt vállalások engedélyezése (Terv mód jó erre)
- +Beállítás -- max- budget- usd, hogy megakadályozzák szökési költségek
- +Használja a megengedett eszközöket a készségek korlátozására, hogy minden készség
- +Az MCP-kiszolgáló jogosultságainak ellenőrzése (csak olvasható adatbáziskapcsolatok használata)
- +Soha ne használjon -- veszélyesen -skip-engedélyek kívül CI / CD