Vai al contenuto

Prodotto · Governance di Claude Code

Governa Claude Code — definisci le policy, versionale, dimostrale

Olivares è progettato Claude-first. Definisci i managed settings, gli hook, l'MCP e i controlli sandbox che determinano ciò che Claude Code può fare — come policy versionate e tracciate — e analizza come quelle policy si confrontano con la configurazione effettivamente osservata sui tuoi host. Deny-closed dove conta: l'hook locale pre-tool.

Inizia in self-hosting Come funziona l'hook

Nel prodotto

La console di governance di Claude Code

Uno screenshot reale, con dati di esempio. Definisci e versiona managed settings, hook, managed-MCP e controlli sandbox/egress, scrivi policy-as-code Cedar/OPA e analizza lo scostamento tra policy e configurazione osservata — ogni azione registrata nel registro delle evidenze.

Screenshot reale
Console di governance di Claude Code di Olivares: schede per scostamento e posture, managed settings, hook, MCP e plugin, sandbox ed egress, policy-as-code e HITL per gli agenti gestiti; la scheda scostamento confronta la policy autorizzata con la configurazione host osservata.

Cosa governi

Policy per ogni superficie di Claude Code

Le superfici gestite che Anthropic espone, definite centralmente come policy versionate — non sparse su ogni macchina.

Deny-closed sull'hook

L'unico punto in cui Claude Code può essere governato, non solo osservato: un hook locale pre-tool che valuta una chiamata a strumento rispetto alle tue policy prima che venga eseguita, e nega per impostazione predefinita. La maggior parte degli strumenti osserva Claude Code solo a posteriori.

Definizione versionata

Valida, esegui in dry-run, poi pubblica. Ogni pubblicazione mantiene una revisione immutabile e tracciata a cui puoi tornare — una policy di cui puoi dimostrare l'applicazione, non una policy che speri sia in vigore.

Managed settings, hook, MCP, sandbox

Definisci managed-settings, hook, managed-MCP e controlli sandbox/egress in un unico punto, oltre a policy-as-code Cedar/OPA e approvazioni human-in-the-loop per gli agenti gestiti.

Scostamento tra policy e configurazione osservata

Analizza come la policy che hai pubblicato si confronta con la configurazione che i connettori in sola lettura osservano effettivamente sui tuoi host — lo scostamento è evidenziato, non presunto.

Come funziona

L'hook pre-tool: consenti, oppure deny-closed

Una chiamata a strumento di Claude Code raggiunge l'hook locale, che la verifica rispetto alla policy pubblicata. Le chiamate consentite procedono; quelle non consentite vengono negate prima di essere eseguite. Ciò che non è mai stato eseguito è rappresentato come mai-avvenuto — non sottinteso.

Diagramma: un hook PreToolUse di Claude Code instrada una chiamata a strumento attraverso una policy deny-closed — le chiamate consentite procedono, quelle negate (arancione) vengono bloccate e il percorso non eseguito è tracciato tratteggiato.
Deny-closed sull'hook locale. Il percorso tratteggiato è la chiamata che non è mai stata eseguita — rappresentata con onestà.

Cosa è reale

Definizione e versionamento sono attivi; il loop di push alla flotta no

Siamo precisi su questo, perché la differenza conta:

  • Attivo: definizione, validazione, dry-run e pubblicazione — ogni revisione mantenuta in modo immutabile e tracciata — oltre all'analisi dello scostamento tra policy e configurazione osservata dai connettori in sola lettura.
  • Non ancora collegato: la distribuzione automatica di una policy pubblicata a ogni istanza di Claude Code in esecuzione, e lo scostamento in tempo reale tra managed-settings e hook. Olivares emette e registra le policy; non invia in modo silenzioso configurazioni ad agenti che non hai connesso. Quel loop di distribuzione alla flotta è in roadmap, e non lo dichiariamo prima del rilascio.
  • Posture: read-first e detective per impostazione predefinita. Il gate deny-closed gira nell'hook locale dove lo distribuisci; Olivares non si interpone inline nel percorso dati di Claude Code.

Governance di Claude Code — domande

Olivares applica le policy a Claude Code già in esecuzione?

Dove distribuisci l'hook locale pre-tool, sì — valuta una chiamata a strumento rispetto alla tua policy pubblicata e nega per impostazione predefinita prima che la chiamata venga eseguita. Ciò che non è ancora automatizzato è la distribuzione di una policy appena pubblicata a ogni istanza in esecuzione nella tua flotta; oggi Olivares definisce, versiona e registra le policy, e analizza lo scostamento osservato. La distribuzione automatica a tutta la flotta è in roadmap, e non la dichiariamo prima del rilascio.

Perché è specifico per Claude?

Perché Claude Code espone superfici gestite — managed settings, hook, managed-MCP, sandbox — che possono davvero essere governate. Olivares definisce le policy proprio rispetto a quelle superfici. La maggior parte degli strumenti può solo osservare un agente a posteriori; l'hook locale è il punto di giunzione in cui una decisione può essere presa prima che uno strumento venga eseguito.

Cos'è lo "scostamento tra policy e configurazione osservata"?

La vista dello scostamento confronta la policy che hai autorizzato con la configurazione host che i connettori in sola lettura osservano effettivamente, ed evidenzia le discrepanze. È una superficie di analisi alimentata da segnali in sola lettura — non un'affermazione che Olivares abbia riscritto qualcosa sui tuoi host.

C'è qualcosa di tutto questo dietro una licenza?

No. La governance di Claude Code fa parte del prodotto open-core sotto licenza AGPL-3.0, in self-hosting. I piani commercial ed enterprise aggiungono supporto e scalabilità, non un paywall sul core.

Governa la tua flotta di Claude Code

Distribuisci Olivares sulla tua infrastruttura, definisci la tua policy gestita come revisioni versionate e tracciate, e applica il gate deny-closed alle chiamate a strumento sull'hook.

Inizia in self-hosting Vedi la mappa degli accessi