1> ## Documentation Index

2> Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

3> Use this file to discover all available pages before exploring further.

4 

5# Scegliere un ambiente sandbox

6 

7> Confronta le opzioni di sandbox di Claude Code: lo strumento Bash sandboxed integrato, il runtime sandbox, i dev container, Docker e le VM. Scegli l'isolamento giusto per il tuo modello di minaccia.

8 

9L'isolamento di Claude Code limita ciò che una sessione può leggere, scrivere e raggiungere sulla rete. Questo è particolarmente importante quando consenti a Claude di lavorare con meno prompt di autorizzazione, lo esegui in modo automatico o lo punti verso codice di cui non sei completamente sicuro.

10 

11Claude Code può essere eseguito in diversi tipi di ambienti isolati, che vanno da una sandbox leggera per comando a una macchina virtuale completamente separata. Questa pagina spiega come:

12 

13* [Confrontare](#compare-sandboxing-approaches) gli approcci di isolamento disponibili in base a ciò che isolano, cosa richiedono e quanto setup è necessario

14* [Scegliere](#choose-an-approach) l'approccio che si adatta al tuo obiettivo e al tuo modello di minaccia

15* [Iniziare](#sandboxed-bash-tool) con l'approccio che hai scelto, dalla sandbox Bash integrata a una macchina virtuale dedicata

16* [Applicare](#enforce-isolation-across-an-organization) l'isolamento per ogni sviluppatore nella tua organizzazione

17 

18<Info>

19 Per il modello di sicurezza più ampio, vedi [Security](/it/security). Per i deployment di Agent SDK, vedi [Secure deployment](/it/agent-sdk/secure-deployment).

20</Info>

21 

22<h2 id="compare-sandboxing-approaches">

23 Confrontare gli approcci di sandboxing

24</h2>

25 

26I primi due approcci nella tabella sottostante vengono eseguiti sul sistema operativo host senza container. Gli altri posizionano Claude Code all'interno di un container o di una macchina virtuale.

27 

28| Approccio | Cosa è isolato | Richiede Docker | Sforzo di setup |

29| :------------------------------------------------ | :---------------------------------------------------------------------------- | :-------------- | :----------------------------------------------- |

30| [Sandboxed Bash tool](#sandboxed-bash-tool) | Comandi Bash e i loro processi figli | No | Minimo su macOS; basso su Linux e WSL2 |

31| [Sandbox runtime](#sandbox-runtime) | L'intero processo Claude Code, inclusi i file tools, i server MCP e gli hooks | No | Basso |

32| [Dev container](#dev-containers) | Ambiente di sviluppo completo | Sì | Medio |

33| [Custom container](#custom-container) | Ambiente di sviluppo completo | Sì | Medio-alto |

34| [Virtual machine](#virtual-machine) | Sistema operativo completo | No | Alto |

35| [Claude Code on the web](#claude-code-on-the-web) | Sistema operativo completo, ospitato da Anthropic | No | Nessuno; richiede un abbonamento Claude e GitHub |

36 

37Lo [sandboxed Bash tool](/it/sandboxing) è integrato in Claude Code e limita solo i comandi Bash. I file tools integrati, i server MCP e gli hooks vengono comunque eseguiti direttamente sul tuo host. Ogni altro approccio nella tabella posiziona l'intero processo Claude Code all'interno del confine di isolamento, quindi i file tools, i server MCP e gli hooks sono anch'essi limitati.

38 

39<Warning>

40 L'isolamento sandbox riduce l'impatto di una violazione, ma non elimina il rischio. Qualsiasi approccio che consente l'uscita di rete può comunque perdere dati che l'agente può leggere, e qualsiasi approccio che monta la tua directory di progetto in scrittura può comunque modificare quel codice. Rivedi le [limitazioni di sicurezza](/it/sandboxing#security-limitations) prima di fare affidamento su una sandbox come controllo rigido.

41 

42 L'isolamento inoltre non cambia ciò che viene inviato al modello. I tuoi prompt e i file che Claude legge vengono trasmessi all'API Anthropic o al tuo provider configurato con o senza una sandbox. Vedi [Data usage](/it/data-usage) per ciò che Claude Code invia e come ridurlo.

43</Warning>

44 

45<h2 id="choose-an-approach">

46 Scegliere un approccio

47</h2>

48 

49Abbina il tuo obiettivo a una riga sottostante, quindi leggi la sezione di dettaglio che segue.

50 

51| Vuoi | Inizia con |

52| :---------------------------------------------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------------------------------------------- |

53| Ridurre i prompt di autorizzazione durante il lavoro quotidiano sulla tua macchina | Lo [sandboxed Bash tool](/it/sandboxing), abilitato con `/sandbox` |

54| Lasciare che Claude lavori in modo automatico con `--dangerously-skip-permissions` o in modalità auto | Il [dev container](/it/devcontainer) preconfigurato, qualsiasi container o VM, o il [sandbox runtime](#sandbox-runtime) |

55| Isolare i server MCP e gli hooks così come Bash, senza Docker | Il sandbox runtime |

56| Lavorare su un repository non attendibile | Una macchina virtuale dedicata, o [Claude Code on the web](/it/claude-code-on-the-web) se hai un abbonamento Claude e un account GitHub connesso |

57| Standardizzare un ambiente sandboxed in un team | Il [dev container](/it/devcontainer) preconfigurato, copiato nel tuo repository |

58| Usare Claude Code da un dispositivo senza setup locale | [Claude Code on the web](/it/claude-code-on-the-web), che richiede un abbonamento Claude e un account GitHub connesso |

59| Richiedere l'isolamento per ogni sviluppatore nella tua organizzazione | [Applicare l'isolamento in un'organizzazione](#enforce-isolation-across-an-organization) |

60| Lavorare su un host Windows nativo | Un container o VM, o eseguire la sandbox Bash all'interno di WSL2 |

61 

62<h3 id="how-isolation-relates-to-permission-modes">

63 Come l'isolamento si relaziona alle modalità di autorizzazione

64</h3>

65 

66Le [modalità di autorizzazione](/it/permission-modes) decidono se una chiamata di strumento viene eseguita e se sei richiesto per primo. L'isolamento limita ciò che un comando può accedere una volta eseguito. I due lavorano insieme: quando una modalità di autorizzazione consente l'esecuzione di azioni senza chiederti, un confine di isolamento limita ciò che quelle azioni possono raggiungere.

67 

68`--dangerously-skip-permissions` rimuove completamente la revisione per azione, quindi un confine di isolamento è l'unica cosa che limita ciò che Claude può fare. Eseguilo sempre all'interno di un container, una VM, o il [sandbox runtime](#sandbox-runtime), in modo che i file tools, i server MCP e gli hooks siano anch'essi all'interno del confine.

69 

70La [modalità auto](/it/permission-modes#eliminate-prompts-with-auto-mode) sostituisce il prompt con un classificatore che esamina le azioni e blocca quelle che vanno oltre la richiesta, puntano a infrastrutture non riconosciute, o sembrano guidate da contenuti ostili che Claude ha letto. Il classificatore è un controllo per azione, non un confine di isolamento, quindi un confine di isolamento aggiunge comunque difesa in profondità per esecuzioni automatiche, e non è richiesto come lo è per `--dangerously-skip-permissions`.

71 

72Lo [sandboxed Bash tool](#sandboxed-bash-tool) da solo vincola solo Bash, quindi non è sufficiente per esecuzioni completamente automatiche in nessuna delle due modalità. Puoi stratificare gli approcci: eseguire lo sandboxed Bash tool all'interno di un container o VM ti dà restrizioni di comando a livello di SO in cima al confine dell'ambiente esterno. Per come la sandbox Bash stessa interagisce con le regole di autorizzazione e le modalità, vedi [Come il sandboxing si relaziona alle autorizzazioni e alle modalità di autorizzazione](/it/sandboxing#how-sandboxing-relates-to-permissions-and-permission-modes).

73 

74<h2 id="sandboxed-bash-tool">

75 Sandboxed Bash tool

76</h2>

77 

78<Note>

79 Questa opzione non supporta Windows nativo. Su host Windows, usa WSL2 o uno degli approcci container o VM sottostanti.

80</Note>

81 

82Lo sandboxed Bash tool è integrato in Claude Code. Utilizza primitive del sistema operativo per limitare l'accesso al filesystem e alla rete di ogni comando Bash che Claude esegue: Seatbelt, la sandbox macOS integrata, e [bubblewrap](https://github.com/containers/bubblewrap) su Linux e WSL2. Per impostazione predefinita consente scritture nella directory di lavoro e richiede la prima volta che un comando ha bisogno di un nuovo dominio di rete.

83 

84Abilitalo con il comando `/sandbox`. La guida [Sandboxing](/it/sandboxing) copre le modalità di approvazione, il confine predefinito, e come ampliarlo o restringerlo.

85 

86La sandbox per comando non copre tutto ciò che viene eseguito in una sessione:

87 

88* Altri [strumenti integrati](/it/tools-reference) come Read, Edit e WebFetch vengono eseguiti all'interno del processo Claude Code e non generano codice arbitrario. Le [regole di autorizzazione](/it/permissions) per percorso o dominio le controllano invece.

89* I server [MCP](/it/mcp) e gli hooks sono processi separati che vengono eseguiti senza vincoli sull'host.

90 

91Per mettere i file tools, i server MCP e gli hooks tutti dietro un confine di SO, esegui l'intero processo Claude Code all'interno del [sandbox runtime](#sandbox-runtime), del [dev container](#dev-containers), o di un [custom container](#custom-container).

92 

93<h2 id="sandbox-runtime">

94 Sandbox runtime

95</h2>

96 

97Il pacchetto [`@anthropic-ai/sandbox-runtime`](https://github.com/anthropic-experimental/sandbox-runtime) avvolge un intero processo nello stesso isolamento Seatbelt o bubblewrap che la sandbox Bash integrata utilizza. Eseguire Claude Code attraverso di esso vincola ogni strumento, hook e server MCP nella sessione, non solo Bash. Il runtime è un'anteprima di ricerca beta, e il suo formato di configurazione potrebbe cambiare man mano che il pacchetto evolve.

98 

99Il runtime nega tutto l'accesso in scrittura e di rete per impostazione predefinita, quindi configuralo prima di lanciare Claude Code attraverso di esso. In `~/.srt-settings.json`, o un file che passi con `--settings`, consenti l'accesso in scrittura ad almeno la tua directory di progetto e i percorsi di configurazione di Claude Code `~/.claude` e `~/.claude.json`. Consenti i domini di rete di cui la tua sessione ha bisogno, incluso `api.anthropic.com` o l'endpoint del tuo provider configurato. Vedi il [README](https://github.com/anthropic-experimental/sandbox-runtime) del pacchetto per lo schema di configurazione completo.

100 

101Una volta che il file di impostazioni è in posizione, avvia Claude Code con `npx` e passa `claude` come comando da avvolgere:

102 

103```bash theme={null}

104npx @anthropic-ai/sandbox-runtime claude

105```

106 

107Claude Code si avvia all'interno della sandbox con i confini di filesystem e di rete che hai configurato. Lo stesso comando funziona per il sandboxing di server MCP autonomi o altri processi di supporto.

108 

109<h2 id="dev-containers">

110 Dev containers

111</h2>

112 

113Un dev container esegue Claude Code all'interno di un container Docker che VS Code o un editor compatibile gestisce, con il tuo progetto montato. Puoi definire il tuo con una directory `.devcontainer/` nel tuo repository.

114 

115Il repository claude-code pubblica un [esempio di dev container](/it/devcontainer) con un firewall iptables default-deny come punto di partenza. Copialo nel tuo repository e regola la whitelist del firewall, l'immagine di base e la versione di Claude Code fissata per adattarsi al tuo ambiente. Poiché il firewall blocca l'uscita non approvata, una configurazione come questa supporta l'esecuzione di Claude Code con `--dangerously-skip-permissions` per il lavoro automatico.

116 

117<h2 id="custom-container">

118 Custom container

119</h2>

120 

121Puoi eseguire Claude Code in qualsiasi immagine container Docker o OCI con le tue politiche di rete, volumi montati e profili seccomp. Questo è il percorso più comune per le organizzazioni con infrastruttura container esistente o runner CI.

122 

123Diversi servizi di sandbox gestiti e di esecuzione remota possono ospitare il container per te. La stessa checklist si applica come per qualsiasi container che gestisci: rivedi cosa è montato in scrittura, quali credenziali e token sono raggiungibili all'interno, e cosa consente la politica di uscita di rete.

124 

125Puoi stratificare la sandbox Bash integrata all'interno del container per restrizioni per comando. I container senza privilegi hanno bisogno dell'impostazione nested-sandbox descritta in [Sandboxing troubleshooting](/it/sandboxing#troubleshooting).

126 

127<h2 id="virtual-machine">

128 Virtual machine

129</h2>

130 

131Una macchina virtuale dedicata fornisce la separazione più forte, con il suo kernel e, nei deployment cloud o microVM, il suo hardware virtualizzato. Le opzioni includono istanze cloud, hypervisor locali e microVM come Firecracker.

132 

133Usa questo approccio quando stai valutando codice non attendibile, quando la tua politica di sicurezza richiede separazione a livello di kernel tra l'agente e l'host, o quando nessun approccio a livello di host soddisfa i tuoi requisiti di conformità. La funzione [sandboxes](https://docs.docker.com/ai/sandboxes/) di Docker Desktop fornisce una microVM con il suo daemon Docker e sincronizzazione dell'area di lavoro, che può eseguire Claude Code su host che hanno già Docker Desktop.

134 

135<h2 id="claude-code-on-the-web">

136 Claude Code on the web

137</h2>

138 

139[Claude Code on the web](/it/claude-code-on-the-web) esegue ogni sessione in una macchina virtuale isolata gestita da Anthropic. Un proxy di rete applica una whitelist predefinita, e un proxy separato tiene il tuo token GitHub al di fuori della sandbox mentre emette credenziali scoped per l'accesso al repository all'interno di essa.

140 

141Usa questo approccio quando vuoi l'isolamento completo della VM senza provisioning dell'infrastruttura da solo, o quando stai delegando attività da un dispositivo che non ha un ambiente di sviluppo locale. Richiede un abbonamento Claude e un account GitHub connesso, e le sessioni clonano il tuo repository da GitHub. Vedi [Claude Code on the web](/it/claude-code-on-the-web) per la disponibilità del piano e le opzioni di autenticazione GitHub.

142 

143<h2 id="enforce-isolation-across-an-organization">

144 Applicare l'isolamento in un'organizzazione

145</h2>

146 

147I singoli sviluppatori possono optare per qualsiasi approccio sopra. Ciò che un'organizzazione può applicare, e con quali strumenti, dipende dall'approccio:

148 

149* **Built-in Bash sandbox**: l'unico approccio che Claude Code applica da solo. Fornisci le chiavi di impostazioni `sandbox` attraverso [managed settings](/it/settings#settings-files), sia come file gestito dal tuo MDM che attraverso [server-managed settings](/it/server-managed-settings) su Claude.ai. Vedi [Enforce sandboxing with managed settings](/it/sandboxing#enforce-sandboxing-with-managed-settings) per le chiavi da distribuire e come impedire agli sviluppatori di ampliare la politica.

150* **Dev containers**: esegui il commit dell'[esempio di dev container](/it/devcontainer) nei tuoi repository per standardizzare l'ambiente in un team. Questa è una convenzione piuttosto che un confine di applicazione, perché Claude Code non richiede un container. Se gli sviluppatori non dovrebbero essere in grado di eseguire Claude Code al di fuori di esso, applica ciò con gli strumenti di gestione dei dispositivi della tua organizzazione o di allowlisting del software.

151* **Custom containers e VMs**: distribuisci Claude Code attraverso l'immagine approvata e usa gli strumenti di gestione dei dispositivi della tua organizzazione o di allowlisting del software per prevenire l'installazione al di fuori di essa.

152 

153<h2 id="see-also">

154 Vedi anche

155</h2>

156 

157Queste pagine coprono i dettagli di configurazione e politica per gli approcci sopra.

158 

159* [Sandboxing](/it/sandboxing): configura lo sandboxed Bash tool integrato

160* [Dev container](/it/devcontainer): il container di sviluppo Docker preconfigurato

161* [Security](/it/security): il modello di sicurezza completo di Claude Code

162* [Secure deployment](/it/agent-sdk/secure-deployment): guida all'isolamento per le applicazioni Agent SDK

163* [Settings](/it/settings#sandbox-settings): tutte le chiavi di configurazione sandbox, inclusa la consegna di managed settings