Saltar al contenido

Producto · Gobierno de Claude Code

Gobierna Claude Code — escribe la política, versiónala, demuéstrala

Olivares está hecho Claude-first. Escribe los managed settings, hooks, MCP y controles de sandbox que moldean lo que Claude Code puede hacer — como política versionada y auditada — y revisa cómo se compara esa política con la configuración realmente observada en tus hosts. Denegado por defecto donde importa: el hook local de pre-herramienta.

Empezar self-hosted Cómo funciona el hook

En el producto

La consola de gobierno de Claude Code

Una captura real, con datos de ejemplo. Escribe y versiona managed settings, hooks, managed-MCP y controles de sandbox/egress, escribe policy-as-code con Cedar/OPA y revisa la deriva política-frente-a-observado — cada acción registrada en el ledger de evidencia.

Captura real
Consola de gobierno de Claude Code de Olivares: pestañas de drift y postura, managed settings, hooks, MCP y plugins, sandbox y egress, policy-as-code y HITL de agente gestionado; la pestaña de drift compara la política permitida con la configuración observada del host.

Qué gobiernas

Política para cada superficie de Claude Code

Las superficies gestionadas que expone Anthropic, escritas de forma centralizada como política versionada — no dispersas por las máquinas.

Denegado por defecto en el hook

El único sitio donde Claude Code se puede gobernar, no solo observar: un hook local de pre-herramienta que evalúa una llamada contra tu política antes de que se ejecute, y deniega por defecto. La mayoría de herramientas solo observan a Claude Code a posteriori.

Autoría versionada

Valida, haz dry-run y publica. Cada publicación persiste una revisión inmutable y auditada a la que puedes volver — política que puedes demostrar que está aplicada, no política que esperas que lo esté.

Managed settings, hooks, MCP, sandbox

Escribe managed-settings, hooks, managed-MCP y controles de sandbox/egress en un solo sitio, además de policy-as-code con Cedar/OPA y aprobaciones humanas (HITL) para agentes gestionados.

Deriva política-frente-a-observado

Revisa cómo se compara la política que publicaste con la configuración que los conectores de solo lectura observan de verdad en tus hosts — la deriva se muestra, no se supone.

Cómo funciona

El hook de pre-herramienta: permitir, o denegar por defecto

Una llamada de herramienta de Claude Code llega al hook local, que la contrasta con tu política publicada. Las permitidas siguen; las no permitidas se deniegan antes de ejecutarse. Lo que nunca se ejecutó se dibuja como que nunca pasó — no se insinúa.

Diagrama: un hook PreToolUse de Claude Code enruta una llamada de herramienta por una política denegada-por-defecto — las permitidas siguen, las denegadas (naranja) se detienen, y la ruta no-ejecutada se dibuja punteada.
Denegado por defecto en el hook local. La ruta punteada es la llamada que nunca se ejecutó — dibujada con honestidad.

Qué es real

La autoría y el versionado están live; el loop de empuje a la flota no

Somos precisos en esto, porque la diferencia importa:

  • Live: autoría, validación, dry-run y publicación — cada revisión persistida de forma inmutable y auditada — más la revisión de la deriva política-frente-a-observado desde los conectores de solo lectura.
  • Aún sin cablear: la distribución automática de una política publicada a cada instancia de Claude Code en marcha, y la deriva en vivo entre managed-settings y hooks. Olivares emite y registra política; no empuja configuración en silencio a agentes que no has conectado. Ese loop de distribución a la flota está en el roadmap, y no lo afirmamos antes de que exista.
  • Postura: read-first y detective por defecto. La puerta denegada-por-defecto corre en el hook local donde lo despliegas; Olivares no se interpone en la ruta de datos de Claude Code.

Gobierno de Claude Code — preguntas

¿Olivares aplica política sobre el Claude Code que ya está corriendo?

Donde despliegas el hook local de pre-herramienta, sí — evalúa una llamada contra tu política publicada y deniega por defecto antes de que se ejecute. Lo que aún no está automatizado es empujar una política recién publicada a cada instancia en marcha de toda tu flota; hoy Olivares escribe, versiona y registra política, y revisa la deriva observada. La distribución automática a toda la flota está en el roadmap, y no la afirmamos antes de que exista.

¿Por qué es específico de Claude?

Porque Claude Code expone superficies gestionadas — managed settings, hooks, managed-MCP, sandbox — que de verdad se pueden gobernar. Olivares escribe política contra exactamente esas superficies. La mayoría del tooling solo puede observar a un agente a posteriori; el hook local es la costura donde se puede decidir antes de que una herramienta se ejecute.

¿Qué es la «deriva política-frente-a-observado»?

La vista de drift compara la política que permitiste con la configuración del host que los conectores de solo lectura observan de verdad, y muestra las diferencias. Es una superficie de revisión alimentada por señales de solo lectura — no una afirmación de que Olivares reescribió algo en tus hosts.

¿Algo de esto está detrás de una licencia?

No. El gobierno de Claude Code es parte del producto open-core bajo AGPL-3.0, self-hosted. Los tiers comercial y enterprise añaden soporte y escala, no un muro de pago sobre el núcleo.

Gobierna tu flota de Claude Code

Despliega Olivares en tu propia infraestructura, escribe tu política gestionada como revisiones versionadas y auditadas, y filtra las llamadas de herramienta denegando por defecto en el hook.

Empezar self-hosted Ver el mapa de acceso