name: claude-settings-audit description: 分析代码库以生成推荐的Claude Code settings.json权限。使用于设置新项目、审核现有设置或确定允许的只读bash命令。检测技术栈、构建工具和单体仓库结构。
Claude设置审计
分析此代码库并生成Claude Code settings.json权限的建议,用于只读命令。
第一阶段:检测技术栈
运行这些命令以检测代码库结构:
ls -la
find . -maxdepth 2 \( -name "*.toml" -o -name "*.json" -o -name "*.lock" -o -name "*.yaml" -o -name "*.yml" -o -name "Makefile" -o -name "Dockerfile" -o -name "*.tf" \) 2>/dev/null | head -50
检查这些指示文件:
| 类别 | 检查文件 |
|---|---|
| Python | pyproject.toml, setup.py, requirements.txt, Pipfile, poetry.lock, uv.lock |
| Node.js | package.json, package-lock.json, yarn.lock, pnpm-lock.yaml |
| Go | go.mod, go.sum |
| Rust | Cargo.toml, Cargo.lock |
| Ruby | Gemfile, Gemfile.lock |
| Java | pom.xml, build.gradle, build.gradle.kts |
| 构建 | Makefile, Dockerfile, docker-compose.yml |
| 基础设施 | *.tf 文件, kubernetes/, helm/ |
| 单体仓库 | lerna.json, nx.json, turbo.json, pnpm-workspace.yaml |
第二阶段:检测服务
检查服务集成:
| 服务 | 检测 |
|---|---|
| Sentry | sentry-sdk 在依赖中, @sentry/* 包, .sentryclirc, sentry.properties |
| Linear | Linear 配置文件, .linear/ 目录 |
读取依赖文件以识别框架:
package.json→ 检查dependencies和devDependenciespyproject.toml→ 检查[project.dependencies]或[tool.poetry.dependencies]Gemfile→ 检查 gem 名称Cargo.toml→ 检查[dependencies]
第三阶段:检查现有设置
cat .claude/settings.json 2>/dev/null || echo "No existing settings"
第四阶段:生成建议
通过组合构建允许列表:
基础命令(始终包括)
[
"Bash(ls:*)",
"Bash(pwd:*)",
"Bash(find:*)",
"Bash(file:*)",
"Bash(stat:*)",
"Bash(wc:*)",
"Bash(head:*)",
"Bash(tail:*)",
"Bash(cat:*)",
"Bash(tree:*)",
"Bash(git status:*)",
"Bash(git log:*)",
"Bash(git diff:*)",
"Bash(git show:*)",
"Bash(git branch:*)",
"Bash(git remote:*)",
"Bash(git tag:*)",
"Bash(git stash list:*)",
"Bash(git rev-parse:*)",
"Bash(gh pr view:*)",
"Bash(gh pr list:*)",
"Bash(gh pr checks:*)",
"Bash(gh pr diff:*)",
"Bash(gh issue view:*)",
"Bash(gh issue list:*)",
"Bash(gh run view:*)",
"Bash(gh run list:*)",
"Bash(gh run logs:*)",
"Bash(gh repo view:*)",
"Bash(gh api:*)"
]
技术栈特定命令
仅包括在项目中实际检测到的工具命令。
Python(如果检测到任何Python文件或配置)
| 如果检测到 | 添加这些命令 |
|---|---|
| 任何 Python | python --version, python3 --version |
poetry.lock |
poetry show, poetry env info |
uv.lock |
uv pip list, uv tree |
Pipfile.lock |
pipenv graph |
requirements.txt(无其他锁文件) |
pip list, pip show, pip freeze |
Node.js(如果检测到package.json)
| 如果检测到 | 添加这些命令 |
|---|---|
| 任何 Node.js | node --version |
pnpm-lock.yaml |
pnpm list, pnpm why |
yarn.lock |
yarn list, yarn info, yarn why |
package-lock.json |
npm list, npm view, npm outdated |
TypeScript(tsconfig.json) |
tsc --version |
其他语言
| 如果检测到 | 添加这些命令 |
|---|---|
go.mod |
go version, go list, go mod graph, go env |
Cargo.toml |
rustc --version, cargo --version, cargo tree, cargo metadata |
Gemfile |
ruby --version, bundle list, bundle show |
pom.xml |
java --version, mvn --version, mvn dependency:tree |
build.gradle |
java --version, gradle --version, gradle dependencies |
构建工具
| 如果检测到 | 添加这些命令 |
|---|---|
Dockerfile |
docker --version, docker ps, docker images |
docker-compose.yml |
docker-compose ps, docker-compose config |
*.tf 文件 |
terraform --version, terraform providers, terraform state list |
Makefile |
make --version, make -n |
技能(用于Sentry项目)
如果这是Sentry项目(或安装了sentry-skills插件),包括:
[
"Skill(sentry-skills:commit)",
"Skill(sentry-skills:create-pr)",
"Skill(sentry-skills:code-review)",
"Skill(sentry-skills:find-bugs)",
"Skill(sentry-skills:iterate-pr)",
"Skill(sentry-skills:claude-settings-audit)",
"Skill(sentry-skills:agents-md)",
"Skill(sentry-skills:brand-guidelines)",
"Skill(sentry-skills:doc-coauthoring)",
"Skill(sentry-skills:security-review)",
"Skill(sentry-skills:django-perf-review)",
"Skill(sentry-skills:code-simplifier)",
"Skill(sentry-skills:skill-creator)",
"Skill(sentry-skills:skill-scanner)"
]
WebFetch域名
始终包括(Sentry项目)
[
"WebFetch(domain:docs.sentry.io)",
"WebFetch(domain:develop.sentry.dev)",
"WebFetch(domain:docs.github.com)",
"WebFetch(domain:cli.github.com)"
]
框架特定
| 如果检测到 | 添加域名 |
|---|---|
| Django | docs.djangoproject.com |
| Flask | flask.palletsprojects.com |
| FastAPI | fastapi.tiangolo.com |
| React | react.dev |
| Next.js | nextjs.org |
| Vue | vuejs.org |
| Express | expressjs.com |
| Rails | guides.rubyonrails.org, api.rubyonrails.org |
| Go | pkg.go.dev |
| Rust | docs.rs, doc.rust-lang.org |
| Docker | docs.docker.com |
| Kubernetes | kubernetes.io |
| Terraform | registry.terraform.io |
MCP服务器建议
MCP服务器配置在 .mcp.json 中(非 settings.json)。检查现有配置:
cat .mcp.json 2>/dev/null || echo "No existing .mcp.json"
Sentry MCP(如果检测到Sentry SDK)
添加到 .mcp.json(替换 {org-slug} 和 {project-slug} 为你的Sentry组织和项目slug):
{
"mcpServers": {
"sentry": {
"type": "http",
"url": "https://mcp.sentry.dev/mcp/{org-slug}/{project-slug}"
}
}
}
Linear MCP(如果检测到Linear使用)
添加到 .mcp.json:
{
"mcpServers": {
"linear": {
"command": "npx",
"args": ["-y", "@linear/mcp-server"],
"env": {
"LINEAR_API_KEY": "${LINEAR_API_KEY}"
}
}
}
}
注意:绝不建议GitHub MCP。始终使用 gh CLI命令处理GitHub。
输出格式
以以下形式呈现发现:
- 摘要表格 - 检测到什么
- 推荐的settings.json - 完整的JSON,准备复制
- MCP建议 - 如果适用
- 合并说明 - 如果找到现有设置
示例输出结构:
## 检测到的技术栈
| 类别 | 找到 |
| --------------- | -------------- |
| 语言 | Python 3.x |
| 包管理器 | poetry |
| 框架 | Django, Celery |
| 服务 | Sentry |
| 构建工具 | Docker, Make |
## 推荐的 .claude/settings.json
\`\`\`json
{
"permissions": {
"allow": [
// ... 按类别分组并注释
],
"deny": []
}
}
\`\`\`
## 推荐的 .mcp.json(如果适用)
如果你使用Sentry或Linear,添加MCP配置到 `.mcp.json`...
重要规则
包括什么
- 仅只读命令,不能修改状态
- 仅项目实际使用的工具(通过锁文件检测)
- 标准系统命令(ls, cat, find等)
:*后缀允许任何参数到基础命令
绝不包括什么
- 绝对路径 - 绝不包括用户特定路径如
/home/user/scripts/foo或/Users/name/bin/bar - 自定义脚本 - 绝不包括可能有副作用的项目脚本(例如
./scripts/deploy.sh) - 替代包管理器 - 如果项目使用pnpm,不要包括npm/yarn命令
- 修改状态的命令 - 无安装、构建、运行、写入或删除命令
包管理器规则
仅包括项目实际使用的包管理器:
| 如果检测到 | 包括 | 不要包括 |
|---|---|---|
pnpm-lock.yaml |
pnpm命令 | npm, yarn |
yarn.lock |
yarn命令 | npm, pnpm |
package-lock.json |
npm命令 | yarn, pnpm |
poetry.lock |
poetry命令 | pip(除非也有requirements.txt) |
uv.lock |
uv命令 | pip, poetry |
Pipfile.lock |
pipenv命令 | pip, poetry |
如果存在多个锁文件,仅包括每个检测到的管理器的命令。