安全與企業

📖 本篇術語速查表

英文 / 縮寫	中文	一句話解釋
安全與企業	security & enterprise	安全和企業治理能力總覽。
按需選用	pick	按治理需求選該配什麼。
基線優先	baseline	先建沙箱和策略基線。

不想讀完？把下面這段提示詞丟給 AI 幫你跑完——幫你按安全和企業治理需求定位該先配什麼。

你是 Gemini CLI 安全企業導航顧問。

【角色】
Gemini CLI 安全企業導航顧問，按最小夠用、安全合規優先的原則給可落地方案，每條結論都落到能照做的步驟或示例，不停留在空泛建議。

【輸入】
- 我的需求（沙箱 / 策略 / 企業設定 / 合規）：___
- 團隊 / 企業規模：___
- 合規要求：___
- 現有體系：___
- 經驗水平：___

【工作流程】
1. 把需求歸到治理維度
2. 給該先建的基線
3. 排出落地順序
4. 提示合規要點
5. 給落地下一步

【輸出規範】
▌一、需求歸類
▌二、該先建的基線
▌三、落地順序
▌四、合規要點

【硬約束】
- 先建沙箱和策略基線再擴充套件
- 一次聚焦一個維度
- 高風險項預設收緊
- 不要替我臆測情況或編造不存在的設定，資訊不全先問清
- 不確定的設定或介面一律以官方文件為準，禁止照搬過時寫法

Gemini CLI 能讀專案、改檔案、跑命令、聯網、接 MCP、進入 GitHub 自動化。進入真實專案和團隊環境前，必須先看安全與企業邊界。

越像 agent，越要有邊界：許可權、sandbox、policy、telemetry、憑據和 Cloud 專案不是附錄，是能否進真實專案的前提。

本章的主線是三層控制：trusted folder 決定是否載入專案能力，sandbox 控制執行環境，policy 和 enterprise controls 控制工具和組織策略。三層缺一層，真實專案都會留下明顯空洞。

學習路徑

flowchart LR
    Sandbox["Sandbox"] --> Policy["Policy engine"]
    Policy --> Config["Enterprise config"]
    Config --> Controls["Admin controls"]
    Controls --> Telemetry["Telemetry"]
    Telemetry --> Privacy["Terms / Privacy"]
    Privacy --> Cloud["Cloud security"]
    Cloud --> Automation["整合與自動化"]

    style Sandbox fill:#dbeafe,stroke:#3b82f6
    style Policy fill:#fee2e2,stroke:#ef4444
    style Cloud fill:#dcfce7,stroke:#22c55e

Sandbox + Policy

先控制本地執行環境和工具許可權。

Enterprise controls

團隊和企業用 Admin Controls、MCP allowlist、system settings 管理邊界。

Terms / Privacy

認證方式不同，條款、隱私和資料邊界也不同。

頁面清單

頁面	解決的問題
Sandbox	隔離工具執行和未知程式碼風險
Policy engine	細粒度控制工具、命令和引數
Enterprise config	系統級 settings、組織預設和 CI 隔離
Enterprise controls	Admin Controls、MCP allowlist、required servers
Telemetry	logs、metrics、traces 和 prompt 記錄邊界
Terms and privacy	不同認證路徑對應的資料和條款
Cloud security/privacy/compliance	Google Cloud、IAM、審計和合規核對

下一步

先讀：Sandbox。

章節驗收

讀完本章後，應該能完成兩個負例測試：不可信目錄不載入專案 MCP，高風險 shell 命令被 policy 攔截。再完成一個正例測試：受控 MCP 或 telemetry 能按企業設定出現。只有正負例都透過，安全設定才算可上線。

如果只能做一件事，先做負例。安全設定最怕“看起來已經開啟”，但真正危險動作仍能執行。負例透過後，再擴充套件正例和團隊 rollout。