Get started
정책 Plugin
정책 Plugin
워크스페이스 규정 준수를 위해 정책 기반 doctor 검사를 추가합니다.
배포
- 패키지:
@openclaw/policy - 설치 경로: OpenClaw에 포함됨
제공 영역
Plugin
동작
정책 Plugin은 정책으로 관리되는 OpenClaw 설정과 통제되는 워크스페이스 선언에 대한 doctor 상태 검사를 제공합니다. 현재 정책은 채널 규정 준수, 통제되는 도구 메타데이터, MCP 서버 보안 상태, 모델 제공자 보안 상태, 사설 네트워크 접근 보안 상태, Gateway 노출 보안 상태, 에이전트 워크스페이스/도구 보안 상태, 구성된 전역/에이전트별 도구 보안 상태, 구성된 샌드박스 런타임 보안 상태, 인그레스/채널 접근 보안 상태, 데이터 처리 보안 상태, OpenClaw 구성 비밀 정보 제공자/인증 프로필 보안 상태를 다룹니다.
정책은 작성된 요구 사항을 policy.jsonc에 저장하고, 기존 OpenClaw 설정과 워크스페이스 선언을 증거로 관찰하며, openclaw policy check와 openclaw doctor --lint를 통해 불일치를 보고합니다. 문제없는 정책 검사는 운영자가 감사를 위해 기록할 수 있는 정책, 증거, 발견 사항 및 증명 해시를 출력합니다.
openclaw policy compare --baseline <file>은 하나의 정책 파일을 다른 정책 파일과 비교합니다. 이는 구성 수준의 규정 준수만 검사합니다. 정책 규칙 메타데이터를 사용하여 검사 대상 정책이 작성된 기준선보다 누락되거나 약하지 않은지 확인하며, 런타임 상태, 자격 증명 또는 비밀 값은 검사하지 않습니다.
도구 보안 상태 규칙은 승인된 프로필, 워크스페이스 전용 파일 시스템 도구, 제한된 exec 보안/질의/호스트 설정, 비활성화된 권한 상승 모드, 정확한 alsoAllow 항목 및 필수 도구 거부 항목을 요구할 수 있습니다. 추가 alsoAllow 항목은 유효 도구 보안 범위를 넓힐 수 있으므로 증거에 기록됩니다. 이러한 검사는 구성 규정 준수만 관찰하며, 런타임 승인 상태를 읽거나 런타임 강제 적용을 추가하지 않습니다.
샌드박스 보안 상태 규칙은 승인된 샌드박스 모드/백엔드를 요구하고, 호스트 컨테이너 네트워킹과 컨테이너 네임스페이스 참여를 금지하며, 읽기 전용 컨테이너 마운트를 요구하고, 컨테이너 런타임 소켓 마운트와 제한 없는 컨테이너 프로필을 금지하며, 샌드박스 브라우저 CDP 소스 범위를 요구할 수 있습니다. 이러한 검사는 구성 규정 준수만 관찰하며, 런타임 승인 상태를 읽거나 실행 중인 컨테이너를 검사하거나 런타임 강제 적용을 추가하지 않습니다.
데이터 처리 규칙은 민감한 로깅 정보의 마스킹을 요구하고, 텔레메트리 콘텐츠 캡처를 금지하며, 세션 보존 유지 관리를 요구하고, 세션 기록의 메모리 색인 생성을 금지할 수 있습니다. 이러한 검사는 구성 규정 준수만 관찰하며, 원시 로그, 텔레메트리 내보내기, 기록, 메모리 파일, 비밀 정보 또는 개인 데이터를 검사하지 않습니다.
scopes.<scopeName> 아래의 명명된 정책 범위에는 해당 범위가 지정하는 선택자에 대해 더 엄격한 일반 정책 섹션을 추가할 수 있습니다. agentIds는 tools, agents.workspace, sandbox, dataHandling.memory를 지원하며, channelIds는 ingress.channels를 지원합니다.
agents.list[]에 명시적으로 나열되지 않은 런타임 에이전트 ID는 증거 없이 자동으로 통과하는 대신 상속된 전역/기본 보안 상태를 기준으로 검사됩니다. policy.jsonc에 있는 모든 범위는 해당 선택자에 대해 유효하고 강제 적용 가능해야 합니다. 오버레이 규칙은 추가적인 요구 사항이므로 최상위 정책을 약화하지 않으며, 관찰된 동일한 구성이 두 범위를 모두 위반하면 각각의 발견 사항을 생성할 수 있습니다.