𝗛𝗼𝘄 𝘁𝗼 𝗚𝗼𝘃𝗲𝗿𝗻 𝗖𝗹𝗮𝘂𝗱𝗲 𝗖𝗼𝗱𝗲 𝗔𝗰𝗿𝗼𝘀𝘀 𝗬𝗼𝘂𝗿 𝗧𝗲𝗮𝗺

Claude Code, tam dosya sistemi erişimine sahip bir terminal aracıdır. Bir web uygulaması değildir. Ayar dosyalarını yürütülebilir kod gibi ele alın. 2026'da ortaya çıkan iki güvenlik açığı, kötü niyetli depo (repo) dosyalarının komut çalıştırabileceğini veya API anahtarlarını çalabileceğini gösterdi.

Ekibinizi korumak için bu 4 güvenlik açığını giderin:

  1. API Anahtarı Yönetimini Merkezi Hale Getirin Geliştiriciler genellikle kişisel anahtarlar kullanır veya bunları yerel dosyalarda saklar. Bu durum bir denetim izi (audit trail) oluşturmaz.
  • Anahtarları Anthropic Admin Console üzerinden sağlayın.
  • Tüm anahtarlar için son kullanma tarihleri belirleyin.
  • AWS Secrets Manager veya HashiCorp Vault kullanın.
  • Anahtarların geliştirici makinelerinde kalmaması için trafiği bir AI gateway üzerinden yönlendirin.
  1. Model Kullanımını ve Maliyetleri Kontrol Edin Ekibinizin hangi modelleri kullandığını ve bunların ne kadara mal olduğunu bilmeniz gerekir.
  • ANTHROPIC_BASE_URL değişkenini gateway'inize işaret edecek şekilde ayarlayın.
  • Bu, size istek izleri (request traces) ve hız sınırları (rate limits) sağlar.
  • Bütçe sınırları belirleyebilir ve belirli modelleri onaylayabilirsiniz.
  1. Hassas Dosyalara Erişimi Engelleyin Claude Code; .env dosyalarını, .ssh klasörlerini ve AWS kimlik bilgilerini okuyabilir. Kötü niyetli bir repo, bu verileri bir saldırgana gönderebilir.
  • managed-settings.json dosyasını dağıtmak için Jamf veya Ansible gibi MDM araçlarını kullanın.
  • .env, .ssh ve secrets klasörleri gibi dosyalar için engelleme (deny) kuralları ekleyin.
  • Aracı, dosya yazmadan veya kod göndermeden (push) önce izin istemeye zorlayın.
  1. MCP Sunucularını Denetleyin MCP sunucuları, Claude Code ile aynı izinlerle çalışır. Kötü niyetli bir sunucu veri çalabilir veya komut çalıştırabilir.
  • Ekibiniz kullanmadan önce her MCP sunucusunu denetleyin.
  • Yönetilen ayarlar (managed settings) aracılığıyla hangi sunucuların kurulabileceğini kısıtlayın.
  • Mümkünse MCP sunucularını bir sandbox içinde çalıştırın.

Özet Kontrol Listesi: • ANTHROPIC_BASE_URL değerini işletim sistemi düzeyinde ayarlamak için MDM kullanın. • Yapılandırmaları kilitlemek için managed-settings.json kullanın. • Gizli bilgilere (secrets) dosya sistemi erişimini engelleyin. • Tüm MCP sunucularını denetleyin. • API anahtarlarını her çeyrekte bir yenileyin (rotate).

Anthropic Console'da sunucu tarafından yönetilen ayarları kullanıyorsanız, özel bir ANTHROPIC_BASE_URL değerinin bunları atlayabileceğini unutmayın. Güvenlik kurallarınızın geçerli kalmasını sağlamak için MDM kullanın.

Kaynak: https://dev.to/gentic_news/how-to-govern-claude-code-across-your-team-4-gaps-to-fix-before-the-next-cve-4l4

İsteğe bağlı öğrenme topluluğu: https://t.me/GyaanSetuAi