Production Security Enterprise Checklist

Claude Code 生產環境就緒檢查清單

團隊在生產環境部署 Claude Code 的完整檢查清單。涵蓋安全、效能、監控和治理考量。

2026年1月14日 8 min read 作者:Claude World

將 Claude Code 從個人實驗推進到生產團隊使用,需要仔細考慮安全、治理和營運問題。

這份檢查清單幫助團隊在全組織推廣 Claude Code 前確保涵蓋所有必要項目。

部署前檢查清單

1. 存取控制

[ ] API 金鑰安全儲存(不在程式碼中)
[ ] 團隊成員有適當的 Anthropic 帳戶存取權
[ ] 建立金鑰輪換排程
[ ] 啟用存取日誌
[ ] 定義離職團隊成員的處理流程

金鑰儲存選項:

  • 環境變數(基本)
  • 密鑰管理器(AWS Secrets Manager、Vault 等)
  • 組織管理的金鑰(企業版)

2. 權限配置

// .claude/settings.json - 團隊模板
{
  "permissions": {
    "allow": [
      "Read",
      "Write(src/**)",
      "Edit(src/**)",
      "Bash(npm:*)",
      "Bash(git:*)"
    ],
    "deny": [
      "Read(.env*)",
      "Read(secrets/**)",
      "Write(.env*)",
      "Bash(rm -rf:*)",
      "Bash(*--force*)"
    ]
  }
}
[ ] 專案定義預設權限
[ ] 敏感檔案模式在拒絕清單中
[ ] 破壞性命令被阻擋
[ ] 權限模板已文件化
[ ] 團隊已接受權限模型培訓

3. 資料保護

[ ] 已識別敏感資料模式
[ ] .gitignore 包含 Claude 產出物
[ ] CLAUDE.md 中沒有憑證
[ ] 建立 PII 處理指南
[ ] 定義資料保留政策

需要 gitignore 的檔案:

# Claude Code 產出物
.claude/memory.json
CLAUDE.local.md
.auto-cycle/
.auto-explore/
.cms-iterate/

4. 程式碼審查整合

[ ] 定義 AI 生成程式碼審查流程
[ ] PR 模板包含 AI 揭露
[ ] 建立安全審查觸發條件
[ ] 設定測試覆蓋率要求
[ ] 配置品質關卡

PR 模板補充:

## AI 協助
- [ ] 此 PR 包含 AI 生成的程式碼
- [ ] AI 生成的程式碼已被審查
- [ ] 測試涵蓋 AI 生成的部分

安全檢查清單

5. 企業配置

[ ] 已配置組織政策檔案(如果是企業版)
[ ] 已定義 MCP 允許清單
[ ] 工具限制適當
[ ] 啟用稽核日誌
[ ] 文件化合規要求

企業配置位置:

/etc/claude-code/settings.json  # macOS/Linux
%PROGRAMDATA%\claude-code\settings.json  # Windows

6. 網路安全

[ ] 已設定代理配置(如需要)
[ ] 防火牆規則允許 Anthropic API
[ ] 提示中沒有敏感資料(或已配置加密)
[ ] 網路日誌記錄 API 呼叫(如需要)

7. 密鑰管理

[ ] 沒有硬編碼的 API 金鑰
[ ] CLAUDE.md 中沒有密鑰
[ ] 環境變數正確限定範圍
[ ] CI/CD 中有密鑰掃描
[ ] Pre-commit hooks 檢查密鑰

Pre-commit hook 範例:

#!/bin/bash
# .git/hooks/pre-commit
if git diff --cached | grep -E "(sk-ant-|ANTHROPIC_API_KEY)" > /dev/null; then
  echo "錯誤:提交中可能包含 API 金鑰"
  exit 1
fi

8. 程式碼品質關卡

[ ] 靜態分析包含 AI 生成的程式碼
[ ] 安全掃描涵蓋所有程式碼
[ ] 啟用依賴檢查
[ ] 驗證授權合規
[ ] 建立效能基準

營運檢查清單

9. 監控與可觀測性

[ ] 實施使用追蹤
[ ] 配置成本監控
[ ] 追蹤錯誤率
[ ] 記錄 token 使用量
[ ] 設定警報閾值

追蹤方法:

# 記錄 session 成本
claude --cost >> ~/.claude/usage.log

# 解析用於報告
cat ~/.claude/usage.log | jq '.total_cost'

10. 成本管理

[ ] 配置預算警報
[ ] 每團隊/專案成本追蹤
[ ] 模型使用指南(何時使用 Haiku vs Sonnet vs Opus)
[ ] 建立成本審查排程
[ ] 文件化優化策略

模型成本優化:

模型成本何時使用
Haiku$快速任務、探索
Sonnet$$日常開發
Opus$$$關鍵決策、複雜任務

11. 事件回應

[ ] 建立 AI 相關事件手冊
[ ] 文件化回滾程序
[ ] 定義聯絡升級路徑
[ ] 建立事後審查流程

需要規劃的事件類型:

  • 不當的程式碼生成
  • 引入安全漏洞
  • 成本超支
  • 服務中斷

12. 備份與恢復

[ ] CLAUDE.md 在 git 中版本控制
[ ] 記憶檔案已備份(如果使用 MCP)
[ ] 配置已文件化
[ ] 恢復程序已測試

團隊就緒檢查清單

13. 文件

[ ] 建立團隊 CLAUDE.md 模板
[ ] 文件化使用指南
[ ] 分享最佳實踐
[ ] 編譯 FAQ
[ ] 提供故障排除指南

14. 培訓

[ ] 完成初始培訓
[ ] 理解權限模型
[ ] 審查安全指南
[ ] 完成最佳實踐工作坊
[ ] 分享持續學習資源

培訓主題:

  1. 基本 Claude Code 使用
  2. 權限配置
  3. 安全考量
  4. 成本優化
  5. 團隊工作流程整合

15. 支援結構

[ ] 識別內部推動者
[ ] 建立支援頻道(Slack/Teams)
[ ] 定義升級路徑
[ ] 建立回饋機制
[ ] 設定定期檢查排程

16. 治理

[ ] 批准使用政策
[ ] 澄清程式碼所有權
[ ] 處理責任考量
[ ] 滿足合規要求
[ ] 維護稽核軌跡

整合檢查清單

17. CI/CD 整合

[ ] CI 環境中可使用 Claude Code(如需要)
[ ] API 金鑰安全注入
[ ] 自動化測試包含 AI 生成的程式碼
[ ] 建置管線處理 Claude 產出物
[ ] 部署流程不變

18. 工具整合

[ ] 測試 IDE 整合(VS Code、JetBrains)
[ ] 配置 Git hooks
[ ] 設定 MCP 伺服器
[ ] 配置記憶系統
[ ] 其他 AI 工具相容

19. Repository 設定

[ ] 建立專案 CLAUDE.md
[ ] 配置 .claude/settings.json
[ ] 更新 .gitignore
[ ] 團隊有 repository 存取權
[ ] 分支保護適當

Repository 結構:

your-project/
├── .claude/
│   ├── CLAUDE.md          # 團隊標準
│   ├── settings.json      # 權限
│   └── rules/             # 可選:模組化規則
├── .gitignore             # 包含 Claude 產出物
└── CLAUDE.local.md        # 個人(已 gitignore)

部署後檢查清單

20. 推廣監控

[ ] 收集初始使用指標
[ ] 發送回饋調查
[ ] 追蹤和優先處理問題
[ ] 文件化快速成功案例
[ ] 分享成功故事

21. 持續改進

[ ] 排程每月 CLAUDE.md 審查
[ ] 定義權限更新流程
[ ] 設定新功能評估流程
[ ] 團隊回顧包含 AI 議題
[ ] 定期更新最佳實踐

22. 合規驗證

[ ] 審查稽核日誌
[ ] 使用在政策範圍內
[ ] 無安全事件
[ ] 成本在預算內
[ ] 測量團隊滿意度

快速開始:最小可行生產

如果需要快速部署,優先處理這些項目:

必須有(第 1 天)

  1. 安全的 API 金鑰 - 環境變數或密鑰管理器
  2. 基本權限 - 阻擋敏感檔案和破壞性命令
  3. 團隊 CLAUDE.md - 核心標準和慣例
  4. 安全培訓 - 30 分鐘的該做和不該做

應該有(第 1 週)

  1. 成本監控 - 追蹤使用量和設定警報
  2. 程式碼審查流程 - 包含 AI 生成程式碼審查
  3. 文件 - 使用指南和 FAQ
  4. 支援頻道 - 提問和分享的地方

最好有(第 1 個月)

  1. 企業配置 - 完整治理設定
  2. 進階 MCP - 自訂工具和整合
  3. 指標儀表板 - 使用量和生產力追蹤
  4. 培訓計劃 - 持續教育

可列印檢查清單

CLAUDE CODE 生產就緒檢查清單
============================

部署前
[ ] API 金鑰已安全
[ ] 權限已配置
[ ] 敏感資料受保護
[ ] 程式碼審查流程已定義

安全
[ ] 企業配置已設定
[ ] 網路安全已驗證
[ ] 密鑰管理已確認
[ ] 品質關卡已配置

營運
[ ] 監控已啟用
[ ] 成本管理已設定
[ ] 事件回應已規劃
[ ] 備份程序已測試

團隊
[ ] 文件完整
[ ] 培訓已交付
[ ] 支援結構就緒
[ ] 治理已批准

整合
[ ] CI/CD 已配置
[ ] 工具已整合
[ ] Repository 已設定
[ ] 推廣計劃就緒

部署後
[ ] 監控啟動中
[ ] 回饋已收集
[ ] 合規已驗證
[ ] 改進已排程

使用此檢查清單作為起點。根據組織的特定需求和合規要求進行調整。

來源:Claude Code 文件Claude Code GitHub