← BLOG
Best Practice

Keselamatan Kod Claude: Kebenaran, Kotak Pasir dan Penggunaan Selamat

Claude Code memiliki sistem izin yang memungkinkan Anda mengendalikan apa yang AI bisa dan tidak bisa lakukan. Berikut adalah bagaimana mengaturnya untuk pengembangan yang aman.

Kode Claude menjalankan perintah dan mengedit file di lingkungan Anda. Kekuatan itu membutuhkan pelindung. Sistem izin memungkinkan Anda mendefinisikan dengan tepat apa yang dapat akses Claude Code, apa yang dapat dimodifikasi, dan tindakan apa yang membutuhkan persetujuan eksplisit Anda.

Bagaimana sistem izin Kode Claude bekerja?

Kode Claude memiliki tiga modus izin yang mengontrol berapa banyak otonomi yang agen dapatkan:

ModePerilakuTerbaik untuk
♪ Normal ♪Ijin permintaan untuk setiap alatBelajar, kode dasar sensitif
Auto-TerimaMeminta tindakan yang berisikoPengembangan harian
Mode Rencana SonyRencana perubahan, menunggu persetujuan sebelum mengeksekusiPeninjauan kode, perubahan arsitektur

Bagaimana Anda mengkonfigur aturan yang benar?

Hak akses yang baik diatur dalam setting.json. glob Gunakan pola untuk mengontrol berkas dan perintah mana Kode Claude dapat diakses:

// .claude/settings.json
{
  "permissions": {
    "allow": [
      "Read:**",
      "Edit:src/**",
      "Edit:tests/**",
      "Bash:npm run *",
      "Bash:git *"
    ],
    "deny": [
      "Edit:.env*",
      "Edit:*.secret",
      "Edit:credentials/**",
      "Bash:rm -rf *",
      "Bash:curl * | bash",
      "Bash:git push --force*"
    ]
  }
}

Berkas apa yang harus selalu kau lindungi?

  • +Berkas .env dan .env.* (kunci API, kelayakan basis data)
  • +bukti kelayakan/, rahasia/, atau direktori apapun dengan data sensitif
  • +Berkas konfigurasi CI/CD (.github/aliran kerja/, .gitlab-ci.yml)
  • +Berkas Infrastruktur (terraform/, docker-compose.prod.ympl)
  • +Konfigurasi autentifikasi (auth.config.ts, pengaturan oauth)

Bagaimana cara kerja kotak pasir?

Kode Claude menggunakan kotak pasir sistem berkas untuk membatasi di mana agen dapat beroperasi. Secara default, itu hanya dapat mengakses file dalam direktori projek Anda. Anda dapat lebih membatasi hal ini dengan aturan izin/tolak.

# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories

# Add extra directories if needed:
claude --add-dir /path/to/shared/library

Apa praktek keamanan terbaik untuk Claude Code?

  • +Selalu lindungi berkas .env dengan aturan yang tidak sah
  • +Use Normal mode ketika bekerja pada kode sensitif untuk pertama kalinya
  • +Tinjau diff sebelum mengizinkan commit (Mod Flan sangat bagus untuk ini)
  • +Lulusan --max-budget-usd untuk mencegah biaya pelarian
  • +Use used-tools in Skills untuk membatasi apa yang setiap keterampilan dapat lakukan
  • +Audit kebenaran pelayan MCP anda (gunakan sambungan pangkalan data baca sahaja)
  • +Jangan gunakan -- berbahaya-skip-misi diluar CI/CD

Soalan lazim

Kembali ke blogLuang — Modul 1