安全使用 Claude Code 的最佳实践指南。
保护 API 密钥
- 不要硬编码:使用环境变量
ANTHROPIC_API_KEY - 不要提交到 Git:在
.gitignore中添加.env - 定期轮换:定期更换 API 密钥
- 最小权限:使用具有最少必要权限的密钥
代码安全
- 审查 Claude 的更改:在提交前检查所有变更
- 使用检查点:按两次
Esc回滚不满意的更改 - 沙箱运行:对不熟悉的代码使用沙箱
- 避免敏感操作:不要让 Claude 直接操作生产数据库
权限管理
- 从默认模式开始:先审核所有操作,再逐步放宽
- 精确授权命令:使用
allowedCommands而非完全自动 - 定期审计:检查
settings.json中的权限设置
Git 安全
- 审查提交:在
git commit前审查 Claude 的变更 - 分支开发:在功能分支上使用 Claude,不在 main 分支直接操作
- 敏感文件:确保
.env、密钥文件等不被 Claude 访问