Get started

Plugin خط‌مشی

Plugin خط‌مشی

بررسی‌های doctor مبتنی بر خط‌مشی را برای انطباق فضای کاری اضافه می‌کند.

توزیع

  • بسته: @openclaw/policy
  • مسیر نصب: در OpenClaw گنجانده شده است

سطح

Plugin

رفتار

Plugin خط‌مشی، بررسی‌های سلامت doctor را برای تنظیمات OpenClaw تحت مدیریت خط‌مشی و اعلان‌های فضای کاری حاکمیت‌شده فراهم می‌کند. خط‌مشی در حال حاضر انطباق کانال، فراداده ابزارهای حاکمیت‌شده، وضعیت سرور MCP، وضعیت ارائه‌دهنده مدل، وضعیت دسترسی به شبکه خصوصی، وضعیت در معرض‌بودن Gateway، وضعیت فضای کاری/ابزار عامل، وضعیت ابزارهای پیکربندی‌شده سراسری/به‌ازای هر عامل، وضعیت محیط اجرای سندباکس پیکربندی‌شده، وضعیت دسترسی ورودی/کانال، وضعیت مدیریت داده و وضعیت ارائه‌دهنده اسرار/نمایه احراز هویت پیکربندی OpenClaw را پوشش می‌دهد.

خط‌مشی، الزامات تدوین‌شده را در policy.jsonc ذخیره می‌کند، تنظیمات موجود OpenClaw و اعلان‌های فضای کاری را به‌عنوان شواهد مشاهده می‌کند و انحراف را از طریق openclaw policy check و openclaw doctor --lint گزارش می‌دهد. یک بررسی خط‌مشی پاک، هش‌های خط‌مشی، شواهد، یافته‌ها و تصدیق را تولید می‌کند که بهره‌برداران می‌توانند برای ممیزی ثبت کنند.

openclaw policy compare --baseline <file> یک فایل خط‌مشی را با فایل خط‌مشی دیگری مقایسه می‌کند. این فقط انطباق در سطح پیکربندی است: از فراداده قواعد خط‌مشی استفاده می‌کند تا تأیید کند خط‌مشی بررسی‌شده چیزی از خط مبنای تدوین‌شده کم ندارد یا از آن ضعیف‌تر نیست و وضعیت زمان اجرا، اعتبارنامه‌ها یا مقادیر اسرار را بررسی نمی‌کند.

قواعد وضعیت ابزار می‌توانند نمایه‌های تأییدشده، ابزارهای سیستم فایل محدود به فضای کاری، تنظیمات کراندار امنیت/پرسش/میزبان برای اجرا، حالت ارتقایافته غیرفعال، ورودی‌های دقیق alsoAllow و ورودی‌های الزامی منع ابزار را اجباری کنند. شواهد، ورودی‌های افزایشی alsoAllow را ثبت می‌کنند، زیرا ممکن است وضعیت مؤثر ابزار را گسترش دهند. این بررسی‌ها فقط انطباق پیکربندی را مشاهده می‌کنند؛ وضعیت تأیید زمان اجرا را نمی‌خوانند و سازوکار اجرایی زمان اجرا اضافه نمی‌کنند.

قواعد وضعیت سندباکس می‌توانند حالت‌ها/پس‌زمینه‌های تأییدشده سندباکس را الزامی کنند، شبکه کانتینر میزبان را منع کنند، پیوستن به فضای نام کانتینر را منع کنند، اتصال‌های فقط‌خواندنی کانتینر را الزامی کنند، اتصال سوکت محیط اجرای کانتینر و نمایه‌های نامحدود کانتینر را منع کنند و محدوده‌های مبدأ CDP مرورگر سندباکس را الزامی کنند. این بررسی‌ها فقط انطباق پیکربندی را مشاهده می‌کنند؛ وضعیت تأیید زمان اجرا را نمی‌خوانند، کانتینرهای فعال را بازرسی نمی‌کنند و سازوکار اجرایی زمان اجرا اضافه نمی‌کنند.

قواعد مدیریت داده می‌توانند حذف اطلاعات حساس از گزارش‌ها را الزامی کنند، ضبط محتوای تله‌متری را منع کنند، نگهداشت حفظ نشست‌ها را الزامی کنند و نمایه‌سازی حافظه رونوشت نشست را منع کنند. این بررسی‌ها فقط انطباق پیکربندی را مشاهده می‌کنند؛ گزارش‌های خام، خروجی‌های تله‌متری، رونوشت‌ها، فایل‌های حافظه، اسرار یا داده‌های شخصی را بررسی نمی‌کنند.

دامنه‌های نام‌گذاری‌شده خط‌مشی در scopes.<scopeName> می‌توانند برای گزینش‌گر فهرست‌شده خود، بخش‌های عادی و سخت‌گیرانه‌تری از خط‌مشی اضافه کنند. agentIds از tools،‏ agents.workspace،‏ sandbox و dataHandling.memory پشتیبانی می‌کند؛ channelIds از ingress.channels پشتیبانی می‌کند. شناسه‌های عامل زمان اجرا که صراحتاً در agents.list[] فهرست نشده‌اند، در برابر وضعیت سراسری/پیش‌فرض به‌ارث‌رسیده بررسی می‌شوند، نه اینکه بدون هیچ شاهدی به‌طور ضمنی پذیرفته شوند. هر دامنه موجود در policy.jsonc باید برای گزینش‌گر خود معتبر و قابل اعمال باشد. قواعد هم‌پوشان ادعاهای افزوده هستند، بنابراین خط‌مشی سطح بالا را تضعیف نمی‌کنند و هنگامی که یک پیکربندی مشاهده‌شده هر دو دامنه را نقض کند، می‌توانند یافته‌های مستقل خود را ایجاد کنند.

مستندات مرتبط

Was this useful?
On this page

On this page