Claude Code Security: Збої, Скасування, Безпечне використання
Claude Code має дозвілну систему, яка дозволяє вам контролювати саме те, що AI може і не обійтися. Ось як налаштувати його для безпечного розвитку.
Claude Code працює команди та редагує файли у вашому середовищі. Що вимагає охоронців. Система дозволу дозволяє визначити саме те, що Claude Code може отримати доступ, що він може змінюватися, і які дії вимагають вашої явної затвердження.
Як працює система дозволу Claude Code?
Claude Code має три режими дозволу, які контролюють скільки автономії агент отримує:
| Режими | Плеймейт | Найкращі |
|---|---|---|
| Нормативно | Запитати дозвіл на використання кожного інструменту | Навчання, чутливі бази коду |
| Автоприймання | Затверджує безпечні дії, просить ризикувати | Щоденний розвиток |
| Режим Планування | Плани змін, очікування затвердження перед виконанням | Огляд коду, архітектурні зміни |
Як ви налаштовуєте правила денного?
У налаштуваннях .json встановлена відмінна робота. Використовуйте шаблони glob для керування файлами та командами Claude Code може мати доступ:
// .claude/settings.json
{
"permissions": {
"allow": [
"Read:**",
"Edit:src/**",
"Edit:tests/**",
"Bash:npm run *",
"Bash:git *"
],
"deny": [
"Edit:.env*",
"Edit:*.secret",
"Edit:credentials/**",
"Bash:rm -rf *",
"Bash:curl * | bash",
"Bash:git push --force*"
]
}
}Які файли завжди повинні захищатися?
- +.env і .env.* файли (API ключі, бази даних)
- +або будь-який каталог із конфіденційними даними
- +Файли конфігурації CI/CD (.github/workflows/, .gitlab-ci.yml)
- +Файли інфраструктури (terraform/, docker-compose.prod.yml)
- +Налаштування аутентифікації (auth.config.ts, налаштування oauth)
Як працює пісочниця?
Claude Code використовує піскобокси файлової системи для обмеження, де агент може працювати. За замовчуванням він може використовувати лише файли доступу в каталозі вашого проекту. Ви можете додатково обмежити це за допомогою довідкових правил.
# Claude Code runs in a sandbox by default:
# ✅ Can read/write files in your project directory
# ❌ Cannot access files outside the project
# ❌ Cannot access system files
# ❌ Cannot access other users' home directories
# Add extra directories if needed:
claude --add-dir /path/to/shared/libraryЯкі найкращі практики безпеки для Claude Code?
- +Завжди захистити файли .env з дені правила
- +Використовуйте нормальний режим при роботі на чутливий код вперше
- +Огляд дифуга перед тим, як дозволити комісії (Plan Mode є великим для цього)
- +Набір --max-budget-usd для запобігання витрат на бігу
- +Використовуйте дозволені табурети в навички, щоб обмежити те, що кожен майстер може зробити
- +Аудит дозволів сервера MCP (з використанням з'єднань бази даних)
- +Ніколи не використовувати - небезпечно-шкіп-місії за межами CI/CD