Get started
Plugin політик
Plugin політик
Додає підтримувані політиками перевірки doctor для відповідності робочого простору.
Розповсюдження
- Пакет:
@openclaw/policy - Спосіб установлення: входить до складу OpenClaw
Поверхня
Plugin
Поведінка
Plugin політик додає до doctor перевірки стану для керованих політиками налаштувань OpenClaw і регламентованих декларацій робочого простору. Наразі політики охоплюють відповідність каналів, метадані регламентованих інструментів, стан серверів MCP, стан постачальників моделей, стан доступу до приватної мережі, стан доступності Gateway, стан робочих просторів та інструментів агентів, стан налаштованих глобальних і окремих для кожного агента інструментів, стан налаштованого середовища виконання пісочниці, стан вхідного доступу та доступу до каналів, стан обробки даних, а також стан постачальника секретів конфігурації OpenClaw і профілю автентифікації.
Policy зберігає визначені вимоги в policy.jsonc, використовує наявні налаштування OpenClaw і декларації робочого простору як свідчення та повідомляє про відхилення за допомогою openclaw policy check і openclaw doctor --lint. У разі успішної перевірки політики виводяться політика, свідчення, виявлені проблеми та хеші атестації, які оператори можуть зберігати для аудиту.
openclaw policy compare --baseline <file> порівнює один файл політики з іншим. Це лише перевірка відповідності на рівні конфігурації: вона використовує метадані правил політики, щоб переконатися, що перевірювана політика не має пропущених вимог і не є слабшою за визначену базову політику, та не перевіряє стан середовища виконання, облікові дані або значення секретів.
Правила стану інструментів можуть вимагати схвалених профілів, інструментів файлової системи лише в межах робочого простору, обмежених налаштувань безпеки/запиту/хоста для виконання команд, вимкненого режиму підвищених привілеїв, точного переліку записів alsoAllow і наявності обов’язкових записів заборони інструментів. У свідченнях фіксуються додаткові записи alsoAllow, оскільки вони можуть розширювати фактичні дозволи для інструментів. Ці перевірки контролюють лише відповідність конфігурації; вони не зчитують стан схвалень середовища виконання та не додають примусового контролю під час виконання.
Правила стану пісочниці можуть вимагати схвалених режимів і бекендів пісочниці, забороняти мережевий режим контейнера з доступом до хоста та приєднання до просторів імен контейнерів, вимагати монтування контейнерів лише для читання, забороняти монтування сокетів середовища виконання контейнерів і використання необмежених профілів контейнерів, а також вимагати діапазонів джерел CDP для браузера пісочниці. Ці перевірки контролюють лише відповідність конфігурації; вони не зчитують стан схвалень середовища виконання, не перевіряють активні контейнери та не додають примусового контролю під час виконання.
Правила обробки даних можуть вимагати приховування чутливих даних у журналах, забороняти збирання вмісту в телеметрії, вимагати обслуговування збереження сеансів і забороняти індексування пам’яті за текстовими записами сеансів. Ці перевірки контролюють лише відповідність конфігурації; вони не перевіряють необроблені журнали, експортовані дані телеметрії, текстові записи, файли пам’яті, секрети або персональні дані.
Іменовані області політики в scopes.<scopeName> можуть додавати суворіші звичайні розділи політики для вказаного в них селектора. agentIds підтримує tools, agents.workspace, sandbox і dataHandling.memory; channelIds підтримує ingress.channels.
Ідентифікатори агентів середовища виконання, які явно не вказано в agents.list[], перевіряються за успадкованим глобальним або стандартним станом, а не мовчки проходять перевірку без свідчень. Кожна область у policy.jsonc має бути коректною та придатною для примусового застосування до свого селектора. Правила накладання є додатковими вимогами, тому вони не послаблюють політику верхнього рівня й можуть створювати власні повідомлення про проблеми, коли та сама спостережувана конфігурація порушує вимоги обох областей.