𝗛𝗼𝘄 𝘁𝗼 𝗚𝗼𝘃𝗲𝗿𝗻 𝗖𝗹𝗮𝘂𝗱𝗲 𝗖𝗼𝗱𝗲 𝗔𝗰𝗿𝗼𝘀𝘀 𝗬𝗼𝘂𝗿 𝗧𝗲𝗮𝗺

Claude Code ialah alat terminal dengan akses sistem fail sepenuhnya. Ia bukan aplikasi web. Anggap fail tetapannya seperti kod boleh laksana. Dua kerentanan pada tahun 2026 menunjukkan bahawa fail repositori berniat jahat boleh menjalankan arahan atau mencuri kunci API.

Atasi 4 jurang keselamatan ini untuk melindungi pasukan anda:

  1. Pusatkan Pengurusan Kunci API Pembangun sering menggunakan kunci peribadi atau menyimpannya dalam fail tempatan. Ini tidak mewujudkan jejak audit.
  • Keluarkan kunci melalui Anthropic Admin Console.
  • Tetapkan tarikh luput pada semua kunci.
  • Gunakan AWS Secrets Manager atau HashiCorp Vault.
  • Alirkan trafik melalui gerbang AI supaya kunci tidak pernah kekal pada mesin pembangun.
  1. Kawal Penggunaan Model dan Kos Anda perlu tahu model mana yang digunakan oleh pasukan anda dan berapa kosnya.
  • Tetapkan pemboleh ubah ANTHROPIC_BASE_URL untuk menghala ke gerbang anda.
  • Ini memberi anda jejak permintaan dan had kadar.
  • Anda boleh menetapkan had bajet dan meluluskan model tertentu.
  1. Sekat Akses ke Fail Sensitif Claude Code boleh membaca fail .env, folder .ssh, dan kredensial AWS. Repositori berniat jahat boleh menghantar data ini kepada penyerang.
  • Gunakan alat MDM seperti Jamf atau Ansible untuk menghantar fail managed-settings.json.
  • Tambah peraturan penafian untuk fail seperti .env, .ssh, dan folder rahsia.
  • Paksa alat tersebut untuk meminta kebenaran sebelum menulis fail atau menolak (push) kod.
  1. Audit Pelayan MCP Pelayan MCP berjalan dengan keizinan yang sama seperti Claude Code. Pelayan yang tidak selamat boleh mencuri data atau menjalankan arahan.
  • Audit setiap pelayan MCP sebelum pasukan anda menggunakannya.
  • Hadkan pelayan mana yang boleh dipasang melalui tetapan terurus.
  • Jalankan pelayan MCP dalam sandbox jika boleh.

Senarai Semak Ringkasan: • Gunakan MDM untuk menetapkan ANTHROPIC_BASE_URL pada peringkat OS. • Gunakan managed-settings.json untuk mengunci konfigurasi. • Nafikan akses sistem fail kepada rahsia. • Audit semua pelayan MCP. • Tukar (rotate) kunci API setiap suku tahun.

Jika anda menggunakan tetapan terurus pelayan dalam Anthropic Console, ingat bahawa ANTHROPIC_BASE_URL tersuai boleh memintasnya. Gunakan MDM untuk memastikan peraturan keselamatan anda kekal berkuat kuasa.

Source: https://dev.to/gentic_news/how-to-govern-claude-code-across-your-team-4-gaps-to-fix-before-the-next-cve-4l4

Optional learning community: https://t.me/GyaanSetuAi