Mengelola izin dan keamanan
Pelajari tentang sistem izin Claude Code, akses alat, dan perlindungan keamanan.
Claude Code menggunakan sistem izin bertingkat untuk menyeimbangkan kekuatan dan keamanan:
| Jenis Alat | Contoh | Persetujuan Diperlukan | Perilaku “Ya, jangan tanya lagi” |
|---|---|---|---|
| Hanya-baca | Baca file, LS, Grep | Tidak | N/A |
| Perintah Bash | Eksekusi shell | Ya | Permanen per direktori proyek dan perintah |
| Modifikasi File | Edit/tulis file | Ya | Sampai sesi berakhir |
Alat yang tersedia untuk Claude
Claude Code memiliki akses ke serangkaian alat yang kuat yang membantunya memahami dan memodifikasi basis kode Anda:
| Alat | Deskripsi | Izin Diperlukan |
|---|---|---|
| Agent | Menjalankan sub-agent untuk menangani tugas kompleks multi-langkah | Tidak |
| Bash | Mengeksekusi perintah shell di lingkungan Anda | Ya |
| Glob | Mencari file berdasarkan pencocokan pola | Tidak |
| Grep | Mencari pola dalam konten file | Tidak |
| LS | Menampilkan daftar file dan direktori | Tidak |
| Read | Membaca isi file | Tidak |
| Edit | Membuat perubahan yang ditargetkan ke file tertentu | Ya |
| Write | Membuat atau menimpa file | Ya |
| NotebookEdit | Memodifikasi sel Jupyter notebook | Ya |
| NotebookRead | Membaca dan menampilkan isi Jupyter notebook | Tidak |
| WebFetch | Mengambil konten dari URL tertentu | Ya |
Aturan izin dapat dikonfigurasi menggunakan /allowed-tools atau di pengaturan izin.
Melindungi dari injeksi prompt
Injeksi prompt adalah teknik di mana penyerang mencoba mengesampingkan atau memanipulasi instruksi asisten AI dengan menyisipkan teks berbahaya. Claude Code menyertakan beberapa perlindungan terhadap serangan ini:
- Sistem izin: Operasi sensitif memerlukan persetujuan eksplisit
- Analisis sadar konteks: Mendeteksi instruksi yang berpotensi berbahaya dengan menganalisis permintaan secara lengkap
- Sanitasi input: Mencegah injeksi perintah dengan memproses input pengguna
- Daftar blokir perintah: Memblokir perintah berisiko yang mengambil konten sembarangan dari web seperti
curldanwget
Praktik terbaik untuk bekerja dengan konten yang tidak tepercaya:
- Tinjau perintah yang disarankan sebelum menyetujui
- Hindari menyalurkan konten yang tidak tepercaya langsung ke Claude
- Verifikasi perubahan yang diusulkan ke file penting
- Laporkan perilaku mencurigakan dengan
/bug
Meskipun perlindungan ini secara signifikan mengurangi risiko, tidak ada sistem yang sepenuhnya kebal dari semua serangan. Selalu pertahankan praktik keamanan yang baik saat bekerja dengan alat AI apa pun.
Mengonfigurasi akses jaringan
Claude Code memerlukan akses ke:
- api.anthropic.com
- statsig.anthropic.com
- sentry.io
Daftarputihkan URL ini saat menggunakan Claude Code di lingkungan terkontainer.
Implementasi referensi kontainer pengembangan
Claude Code menyediakan konfigurasi kontainer pengembangan untuk tim yang membutuhkan lingkungan yang konsisten dan aman. Setup devcontainer yang telah dikonfigurasi sebelumnya ini bekerja secara mulus dengan ekstensi VS Code Remote - Containers dan alat serupa.
Langkah-langkah keamanan yang ditingkatkan pada kontainer (isolasi dan aturan firewall) memungkinkan Anda menjalankan claude --dangerously-skip-permissions untuk melewati prompt izin untuk operasi tanpa pengawasan. Kami telah menyertakan implementasi referensi yang dapat Anda sesuaikan untuk kebutuhan Anda.
Meskipun devcontainer menyediakan perlindungan substansial, tidak ada sistem yang sepenuhnya kebal dari semua serangan. Selalu pertahankan praktik keamanan yang baik dan pantau aktivitas Claude.
Fitur utama
- Node.js siap produksi: Dibangun di atas Node.js 20 dengan dependensi pengembangan penting
- Keamanan by design: Firewall kustom yang membatasi akses jaringan hanya ke layanan yang diperlukan
- Alat ramah pengembang: Termasuk git, ZSH dengan peningkatan produktivitas, fzf, dan lainnya
- Integrasi VS Code mulus: Ekstensi yang telah dikonfigurasi sebelumnya dan pengaturan yang dioptimalkan
- Persistensi sesi: Mempertahankan riwayat perintah dan konfigurasi antara restart kontainer
- Bekerja di mana saja: Kompatibel dengan lingkungan pengembangan macOS, Windows, dan Linux
Memulai dalam 4 langkah
- Instal VS Code dan ekstensi Remote - Containers
- Klon repositori implementasi referensi Claude Code
- Buka repositori di VS Code
- Saat diminta, klik “Reopen in Container” (atau gunakan Command Palette: Cmd+Shift+P → “Remote-Containers: Reopen in Container”)
Rincian konfigurasi
Setup devcontainer terdiri dari tiga komponen utama:
- devcontainer.json: Mengontrol pengaturan kontainer, ekstensi, dan mount volume
- Dockerfile: Mendefinisikan image kontainer dan alat yang diinstal
- init-firewall.sh: Menetapkan aturan keamanan jaringan
Fitur keamanan
Kontainer menerapkan pendekatan keamanan multi-lapis dengan konfigurasi firewallnya:
- Kontrol akses presisi: Membatasi koneksi keluar hanya ke domain yang masuk daftar putih (registry npm, GitHub, API Anthropic, dll.)
- Kebijakan default-deny: Memblokir semua akses jaringan eksternal lainnya
- Verifikasi startup: Memvalidasi aturan firewall saat kontainer diinisialisasi
- Isolasi: Menciptakan lingkungan pengembangan yang aman yang terpisah dari sistem utama Anda
Opsi kustomisasi
Konfigurasi devcontainer dirancang untuk dapat disesuaikan dengan kebutuhan Anda:
- Tambah atau hapus ekstensi VS Code berdasarkan alur kerja Anda
- Modifikasi alokasi sumber daya untuk lingkungan perangkat keras yang berbeda
- Sesuaikan izin akses jaringan
- Kustomisasi konfigurasi shell dan alat pengembang
Was this page helpful?