Cómo gobernar Claude Code en todo su equipo

Claude Code es una herramienta de terminal con acceso completo al sistema de archivos. No es una aplicación web. Trate sus archivos de configuración como código ejecutable. Dos vulnerabilidades en 2026 demostraron que archivos de repositorios maliciosos pueden ejecutar comandos o robar claves API.

Corrija estas 4 brechas de seguridad para proteger a su equipo:

  1. Centralice la gestión de claves API Los desarrolladores suelen utilizar claves personales o almacenarlas en archivos locales. Esto no genera un registro de auditoría.
  • Emita claves a través de la Anthropic Admin Console.
  • Establezca fechas de expiración para todas las claves.
  • Utilice AWS Secrets Manager o HashiCorp Vault.
  • Dirija el tráfico a través de un gateway de IA para que las claves nunca permanezcan en las máquinas de los desarrolladores.
  1. Controle el uso de modelos y los costes Necesita saber qué modelos utiliza su equipo y cuánto cuestan.
  • Establezca la variable ANTHROPIC_BASE_URL para que apunte a su gateway.
  • Esto le proporciona trazas de solicitudes y límites de tasa (rate limits).
  • Puede establecer límites de presupuesto y aprobar modelos específicos.
  1. Bloquee el acceso a archivos sensibles Claude Code puede leer archivos .env, carpetas .ssh y credenciales de AWS. Un repositorio malicioso puede enviar estos datos a un atacante.
  • Utilice herramientas MDM como Jamf o Ansible para implementar un archivo managed-settings.json.
  • Añada reglas de denegación para archivos como .env, .ssh y carpetas de secretos.
  • Obligue a la herramienta a solicitar permiso antes de escribir archivos o realizar un push de código.
  1. Audite los servidores MCP Los servidores MCP se ejecutan con los mismos permisos que Claude Code. Un servidor malicioso puede robar datos o ejecutar comandos.
  • Audite cada servidor MCP antes de que su equipo lo utilice.
  • Restrinja qué servidores pueden instalarse mediante la configuración gestionada.
  • Ejecute los servidores MCP en un sandbox si es posible.

Lista de verificación de resumen: • Utilice MDM para establecer ANTHROPIC_BASE_URL a nivel de sistema operativo. • Utilice managed-settings.json para bloquear las configuraciones. • Deniegue el acceso al sistema de archivos a los secretos. • Audite todos los servidores MCP. • Rote las claves API cada trimestre.

Si utiliza la configuración gestionada por el servidor en la Anthropic Console, recuerde que una ANTHROPIC_BASE_URL personalizada puede omitirla. Utilice MDM para garantizar que sus reglas de seguridad se mantengan vigentes.

Fuente: https://dev.to/gentic_news/how-to-govern-claude-code-across-your-team-4-gaps-to-fix-before-the-next-cve-4l4

Comunidad de aprendizaje opcional: https://t.me/GyaanSetuAi