Best Practice
รหัสความปลอดภัย: อนุมัติ, Sandboxing และการใช้งานที่ปลอดภัย
รหัส Claude มีระบบได้รับอนุญาต ที่ช่วยให้คุณควบคุมสิ่งที่ AI สามารถและไม่สามารถทํา นี่คือวิธีปรับแต่งเพื่อการพัฒนาที่ปลอดภัย.
Code Claude ทํางานคําสั่งและแก้ไขแฟ้มในสภาพแวดล้อมของคุณ พลังนั้นต้องใช้รางกั้น ระบบได้รับอนุญาตช่วยให้คุณกําหนดสิ่งที่รหัส Claude สามารถเข้าถึง สิ่งที่มันสามารถแก้ไข และสิ่งที่กระทําต้องการการอนุมัติของคุณอย่างชัดเจน.
ระบบอนุมัติรหัสของ Claude ทํางานอย่างไร?
รหัส Claude มีโหมดอนุญาต 3 แบบ ที่ควบคุมความเป็นอิสระของตัวแทนได้
| โหมด | พฤติกรรม | ดีที่สุดสําหรับ |
|---|---|---|
| ปกติ | ขออนุญาตใช้เครื่องมือแต่ละตัว | การ เรียน รู้, ความ ไว ต่อ รหัส |
| จับภาพอัตโนมัติ | การ ยอม รับ การ กระทํา ที่ ปลอด ภัย เรียก ร้อง เอา สิ่ง ที่ เสี่ยง | การพัฒนาทุกวัน |
| โหมดวางแผน | แผนมีการเปลี่ยนแปลง รอคอยการอนุมัติก่อนทําการประมวลผล | การทบทวนรหัส การเปลี่ยนแปลงสถาปัตยกรรม |
คุณ ปรับแต่งกฏการอนุญาตหรือปฏิเสธอย่างไร?
สิทธิ์ที่อนุญาตอย่างดี ถูกตั้งค่าไว้เรียบร้อยแล้ว ใช้รูปแบบ global เพื่อควบคุมแฟ้มและคําสั่ง รหัสน้ําอัดลมสามารถเข้าถึงได้:
// .claude/settings.json
{
"permissions": {
"allow": [
"Read:**",
"Edit:src/**",
"Edit:tests/**",
"Bash:npm run *",
"Bash:git *"
],
"deny": [
"Edit:.env*",
"Edit:*.secret",
"Edit:credentials/**",
"Bash:rm -rf *",
"Bash:curl * | bash",
"Bash:git push --force*"
]
}
}คุณ ควร ปก ป้อง แฟ้ม อะไร เสมอ?
- +.env และ env. * ไฟล์ (กุญแจ API, ฐานข้อมูล)
- +การแสดงตัว/ ความลับ หรือไดเรกทอรีใด ๆ ที่มีข้อมูลสําคัญ
- +แฟ้มการปรับแต่ง CI/ CCD (.jitube/ workraphes /,. kital- cyl)
- +แฟ้มที่ฝังแนบมาด้วย (terraphorm/, doper-composition.prid.yml)
- +การปรับแต่งการตรวจสอบสิทธิ์ (การตั้งค่า auth.configs.ts, auuth)
แล้วกล่องทรายทํางานยังไง?
รหัส Claude ใช้ระบบไฟล์กล่องทราย จํากัด บริเวณที่ตัวแทนสามารถดําเนินการได้ โดยปริยายแล้ว จะสามารถเข้าใช้งานแฟ้มได้ในไดเรกทอรีโครงการของคุณเท่านั้น คุณสามารถจํากัดนี่ได้ด้วยกฏที่อนุญาตหรือปฏิเสธได้.
# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories
# Add extra directories if needed:
claude --add-dir /path/to/shared/libraryอะไรคือวิธีรักษาความปลอดภัยที่ดีที่สุด สําหรับรหัส คลอด?
- +ป้องกันแฟ้ม .env ด้วยกฏที่ปฏิเสธเสมอ
- +ใช้โหมดปกติเมื่อทํางานกับรหัสพื้นฐาน เป็นครั้งแรก
- +ทบทวนการกระจายก่อนที่จะอนุญาตให้ดําเนินการ (โหมด Plan ดีสําหรับนี้)
- +ตั้งค่า --max-budget-usd เพื่อป้องกันค่าใช้จ่ายที่หลบหนี
- +ใช้เครื่องมือที่ได้รับอนุญาตในทักษะ จํากัดสิ่งที่ทักษะแต่ละสามารถทํา
- +แก้ไขสิทธิ์ที่อนุญาตของเซิร์ฟเวอร์ MCP ของคุณ (ใช้การเชื่อมต่อฐานข้อมูลแบบอ่านได้อย่างเดียว)
- +ไม่เคยใช้ตัวเลือก --defacty-skp-perutions นอก CI/CD