← BLOG
Best Practice

Claude Code Security: Toestemmingen, Sandboxing en veilig gebruik

Claude Code heeft een toestemmingssysteem waarmee je precies kunt bepalen wat de AI wel en niet kan. Hier is hoe het te configureren voor een veilige ontwikkeling.

Claude Code draait commando's en bewerkt bestanden in uw omgeving. Die kracht vereist vangrails. Met het toestemmingssysteem kunt u precies bepalen waar Claude Code toegang toe heeft, wat het kan wijzigen en welke acties uw uitdrukkelijke goedkeuring vereisen.

Hoe werkt het toelatingssysteem van Claude Code?

Claude Code heeft drie toestemmingsmodi die bepalen hoeveel autonomie de agent krijgt:

ModusGedragBeste voor
NormaalVraagt toestemming voor elk gereedschapLeren, gevoelige codebases
Automatisch accepterenGeeft toestemming voor veilige acties, vraagt om riskante actiesDagelijkse ontwikkeling
PlanmodusPlannen veranderen, wacht op goedkeuring voordat ze worden uitgevoerdCode herziening, architectuur wijzigingen

Hoe configureert u de regels toestaan/ontkennen?

Fijnkorrelige machtigingen worden ingesteld in instellingen.json. Gebruik glob patronen om te bepalen welke bestanden en commando's Claude Code kan toegang krijgen tot:

// .claude/settings.json
{
  "permissions": {
    "allow": [
      "Read:**",
      "Edit:src/**",
      "Edit:tests/**",
      "Bash:npm run *",
      "Bash:git *"
    ],
    "deny": [
      "Edit:.env*",
      "Edit:*.secret",
      "Edit:credentials/**",
      "Bash:rm -rf *",
      "Bash:curl * | bash",
      "Bash:git push --force*"
    ]
  }
}

Welke bestanden moet u altijd beschermen?

  • +.env en .env.* bestanden (API sleutels, database referenties)
  • +referenties/, geheimen/, of een map met gevoelige gegevens
  • +CI/CD configuratiebestanden (.github/workflows/, .gitlab-ci.yml)
  • +Infrastructuurbestanden (terravorm/, docker-compose.prod.yml)
  • +Authenticatie-configuratie (auth.config.ts, oauth-instellingen)

Hoe werkt sandboxing?

Claude Code gebruikt filesystem sandboxing om te beperken waar de agent kan werken. Standaard kan het alleen toegang krijgen tot bestanden binnen uw project directory. U kunt dit verder beperken met toestemming/weigering regels.

# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories

# Add extra directories if needed:
claude --add-dir /path/to/shared/library

Wat zijn veiligheidsbest practices voor Claude Code?

  • +Bescherm altijd .env bestanden met ontkenningsregels
  • +Normale modus gebruiken bij het voor het eerst werken aan gevoelige code
  • +Bekijk de diff alvorens commits toe te staan (Planmodus is hier geweldig voor)
  • +Stel --max-budget-gebruik in om weggelopen kosten te voorkomen
  • +Gebruik toegestane hulpmiddelen in vaardigheden om te beperken wat elke vaardigheid kan doen
  • +Controleer uw MCP-serverrechten (gebruik alleen-lezen databaseverbindingen)
  • +Gebruik nooit --gevaarlijk-skip-permissions buiten CI/CD

Veelgestelde vragen

← Terug naar blogVrije start module 1