第二十五课:安全最佳实践
--add-dir用法生产环境安全常见安全错误
学习目标
- 掌握安全配置最佳实践
- 了解常见安全错误
- 学会安全地使用 Codex
一、配置建议
1.1 沙盒配置
- 使用 workspace-write 作为默认沙盒
- 只有在隔离环境中才使用 danger-full-access
- 使用 --add-dir 授权额外目录,而非降低沙盒级别
1.2 审批配置
- 使用 on-request 作为默认审批策略
- 为 CI/CD 环境配置专用的 API Key
- 定期轮换 API Key
1.3 ExecPolicy 配置
- 为常见命令创建 allow 规则
- 为危险命令创建 deny 规则
- 定期审查和更新规则
二、常见安全错误
2.1 在生产环境使用 danger-full-access
这是最危险的错误。生产环境应该使用最严格的沙盒策略。
2.2 禁用所有审批
使用 never 策略时,代理可以执行任何命令,包括危险命令。
2.3 不检查代理执行的命令
即使使用 on-request 策略,也应该定期检查代理执行的命令。
2.4 在共享环境中暴露 API Key
API Key 应该妥善保管,不要提交到版本控制。
三、生产环境安全
3.1 API Key 管理
- 使用 CI/CD 专用的 API Key
- 限制 API Key 的权限范围
- 定期轮换密钥
- 使用环境变量存储
3.2 命令监控
- 记录代理执行的所有命令
- 定期审查日志
- 设置异常告警
3.3 权限控制
- 使用最小权限原则
- 限制代理的文件系统访问
- 限制代理的网络访问
四、团队安全
4.1 共享 AGENTS.md
- 在 AGENTS.md 中定义安全规范
- 团队成员共享安全配置
- 定期更新安全策略
4.2 代码审查
- 使用 read-only 策略进行代码审查
- 审查代理生成的代码
- 验证代理执行的命令
五、本课小结
| 要点 | 说明 |
|---|---|
| 沙盒配置 | 默认 workspace-write |
| 审批配置 | 默认 on-request |
| API Key | 专用、轮换、保密 |
| 命令监控 | 记录、审查、告警 |
下一步
下一课我们将了解 AGENTS.md 配置体系。