← BLOG
Best Practice

Claude Code Security: разрешения, песочница и безопасное использование

Claude Code имеет систему разрешений, которая позволяет вам точно контролировать то, что ИИ может и не может делать. Вот как настроить его для безопасного развития.

Claude Code запускает команды и редактирует файлы в вашей среде. Эта сила требует ограждения. Система разрешений позволяет точно определить, к чему может получить доступ Claude Code, что он может изменить и какие действия требуют вашего явного одобрения.

Как работает система разрешений Claude Code?

Клод Код имеет три режима разрешения, которые контролируют, сколько автономии получает агент:

РежимПоведениеЛучшее для
НормальныйЗапросить разрешение на использование каждого инструментаОбучение, чувствительные кодовые базы
АвтопринятьОдобряет безопасные действия, просит рискованныхЕжедневное развитие
Режим PlanПланы меняются, ждут одобрения перед выполнениемОбзор кода, изменения архитектуры

Как настроить правила разрешительного/отрицательного?

Разрешения установлены в Settings.json. Используйте шаблоны глобуса для управления файлами и командами Клод Код может получить доступ:

// .claude/settings.json
{
  "permissions": {
    "allow": [
      "Read:**",
      "Edit:src/**",
      "Edit:tests/**",
      "Bash:npm run *",
      "Bash:git *"
    ],
    "deny": [
      "Edit:.env*",
      "Edit:*.secret",
      "Edit:credentials/**",
      "Bash:rm -rf *",
      "Bash:curl * | bash",
      "Bash:git push --force*"
    ]
  }
}

Какие файлы вы всегда должны защищать?

  • +.env и .env.* файлы (ключи API, учетные данные базы данных)
  • +учетные данные /, секреты / или любой каталог с конфиденциальными данными
  • +Конфигурационные файлы CI/CD (.github/workflows/, .gitlab-ci.yml)
  • +Файлы инфраструктуры (terraform/, docker-compose.prod.yml)
  • +Конфигурация аутентификации (auth.config.ts, настройки oauth)

Как работает песочница?

Claude Code использует песочницу файловой системы, чтобы ограничить работу агента. По умолчанию он может получить доступ только к файлам в каталоге вашего проекта. Вы также можете ограничить это с помощью правил «разрешить / отклонить».

# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories

# Add extra directories if needed:
claude --add-dir /path/to/shared/library

Каковы лучшие практики обеспечения безопасности для Claude Code?

  • +Всегда защищайте файлы .env с помощью правил запрета.
  • +Используйте обычный режим при первой работе с конфиденциальным кодом.
  • +Просмотрите дифф, прежде чем разрешать коммиты (Plan Mode отлично подходит для этого)
  • +Установка - максимальный бюджет-использование для предотвращения безудержных расходов
  • +Используйте разрешенные инструменты в навыках, чтобы ограничить то, что может сделать каждый навык
  • +Проверка разрешений MCP-сервера (использовать только для чтения подключения к базе данных)
  • +Никогда не используйте опасные пропуска за пределами CI / CD

Часто задаваемые вопросы

← Вернуться в блогНачни бесплатно — Модуль 1