Claude Cod de securitate: Permisiuni, Sandboxing, și utilizarea în condiții de siguranță
Codul Claude are un sistem de permisiune care vă permite să controlați exact ceea ce AI poate și nu poate face. Iată cum să-l configurați pentru dezvoltare în condiții de siguranță.
Codul Claude rulează comenzi și editează fișiere în mediul dumneavoastră. Această putere necesită balustrade. Sistemul de permisiune vă permite să definiţi exact ce poate accesa Codul Claude, ce poate modifica şi ce acţiuni necesită aprobarea dumneavoastră explicită.
Cum funcţionează sistemul de permisiune Claude Code?
Codul Claude are trei moduri de permisiune care controlează câtă autonomie primeşte agentul:
| Mod | Comportament | Cel mai bun pentru |
|---|---|---|
| Normal | Cere permisiunea pentru fiecare utilizare instrument | Învățare, baze de coduri sensibile |
| Acceptare automată | Aprobă acțiuni sigure, solicită cele riscante | Dezvoltarea zilnică |
| Mod plan | Planurile se schimbă, așteaptă aprobarea înainte de executare | Revizuirea codurilor, modificări de arhitectură |
Cum configurați regulile de permis/negare?
Permisiunile cu granulație fină sunt stabilite în setările.Json. Utilizați modele glob pentru a controla care fișiere și comenzi Codul Claude poate accesa:
// .claude/settings.json
{
"permissions": {
"allow": [
"Read:**",
"Edit:src/**",
"Edit:tests/**",
"Bash:npm run *",
"Bash:git *"
],
"deny": [
"Edit:.env*",
"Edit:*.secret",
"Edit:credentials/**",
"Bash:rm -rf *",
"Bash:curl * | bash",
"Bash:git push --force*"
]
}
}Ce dosare ar trebui să protejezi mereu?
- +.env și .env.* fișiere (taste API, acreditări de baze de date)
- +acreditări/, secrete/ sau orice director cu date sensibile
- +Fișiere de configurare CI/CD (.github/fluxuri de lucru/, .gitlab-ci.yml)
- +Fișiere de infrastructură (terraform/, docker-compose.prod.yml)
- +Configurația autentificării (auth.config.ts, setările oauth)
Cum funcționează sandboxing?
Codul Claude folosește sandboxing sistem de fișiere pentru a restricționa în cazul în care agentul poate funcționa. În mod implicit, poate accesa doar fișiere din directorul proiectului. Puteți restrânge în continuare acest lucru cu reguli de permis / refuz.
# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories
# Add extra directories if needed:
claude --add-dir /path/to/shared/libraryCare sunt cele mai bune practici de securitate pentru Codul Claude?
- +Protejați întotdeauna .env fișiere cu reguli de negare
- +Utilizați modul normal atunci când lucrați la codul sensibil pentru prima dată
- +Revizuirea diff înainte de a permite comiterea (Planul Mod este mare pentru aceasta)
- +Set - buget maxim pentru prevenirea costurilor fugitive
- +Folosiți instrumente permise în competențe pentru a limita ceea ce fiecare calificare poate face
- +Auditați permisiunile serverului MCP (utilizați conexiuni de bază de date numai pentru citire)
- +Nu utilizaţi niciodată --permisiuni periculoase-skip în afara CI/CD