Hinweis
Copilot-Programmier-Agent befindet sich in der public preview. Änderungen sind vorbehalten. Während der Vorschauphase unterliegt die Verwendung des Features den Lizenzbestimmungen für die Vorabversion von GitHub.
Weitere Informationen zu Copilot-Programmier-Agent findest du unter About assigning tasks to Copilot.
Übersicht
Standardmäßig wird der Zugriff von Copilot auf das Internet durch eine Firewall eingeschränkt.
Durch die Einschränkung des Internetzugriffs kann das Risiko der Datenexfiltration eingedämmt werden, da überraschendes Verhalten von Copilot oder böswillige Anweisungen dazu führen könnten, dass Code oder andere vertrauliche Informationen an externe Standorte gelangen.
Die Standardregeln der Firewall ermöglichen den Zugriff auf eine Reihe von Hosts, die Copilot zur Interaktion mit GitHub oder zum Herunterladen von Abhängigkeiten verwendet.
Wenn Copilot versucht, einen Request zu erstellen, der durch die Firewall blockiert wird, wird dem Pull Request-Text (wenn Copilot zum ersten Mal einen Pull Request erstellt) oder einem Kommentar (wenn Copilot auf einen Pull Request-Kommentar reagiert) eine Warnung hinzugefügt. In der Warnung werden die blockierte Adresse und der Befehl angezeigt, mit dem der Request erstellt werden sollte.
Hinzufügen weiterer Hosts zur Liste zugelassener Adressen in der Firewall des Agents
Wenn du der Liste zugelassener Adressen in der Firewall des Agents weitere Adressen hinzufügen möchtest, lege die GitHub Actions-Variable COPILOT_AGENT_FIREWALL_ALLOW_LIST_ADDITIONS auf eine durch Kommas getrennte Liste fest. Diese Liste darf folgende Elemente enthalten:
-
Domänen (z. B.
packages.contoso.corp): Datenverkehr zu dieser Domäne und allen Unterdomänen wird zugelassen.Beispiel: Mit
packages.contoso.corpwäre Datenverkehr zupackages.contoso.corpundprod.packages.contoso.corpzulässig, jedoch nicht zuartifacts.contoso.corp. -
URLs (z. B.
https://packages.contoso.corp/project-1/): Datenverkehr wird nur für das angegebene Schema (https) und den angegebenen Host (packages.contoso.corp) zugelassen und ist auf den angegebenen Pfad und Nachfolgerpfade beschränkt.Beispiel: Mit
https://packages.contoso.corp/project-1/wäre Datenverkehr zuhttps://packages.contoso.corp/project-1/undhttps://packages.contoso.corp/project-1/tags/latestzulässig, jedoch nicht zuhttps://packages.consoto.corp/project-2,ftp://packages.contoso.corpoderhttps://artifacts.contoso.corp.
Überschreiben der Liste zugelassener Adressen in der Firewall
Standardmäßig ermöglicht die Firewall den Zugriff auf eine Reihe von Hosts, die häufig zum Herunterladen von Abhängigkeiten verwendet werden oder die Copilot zur Interaktion mit GitHub nutzt.
Wenn du die Standardliste zugelassener Adressen komplett löschen und von Grund auf neu erstellen möchtest, lege die GitHub Actions-Variable COPILOT_AGENT_FIREWALL_ALLOW_LIST auf eine durch Kommas getrennte Liste von Hosts fest.
Wenn du beispielsweise nur den Zugriff auf packages.contoso.corp und artifacts.contoso.corp zulassen möchtest, lege die Variable COPILOT_AGENT_FIREWALL_ALLOW_LIST auf packages.contoso.corp,artifacts.contoso.corp fest.
Deaktivieren der Firewall
Warnung
Durch Deaktivieren der Firewall kann Copilot eine Verbindung mit jedem beliebigen Host herstellen, was das Risiko der Exfiltration von Code oder anderen vertraulichen Informationen erhöht.
Die Firewall ist standardmäßig aktiviert. Wenn du die Firewall deaktivieren möchtest, lege die GitHub Actions-Variable COPILOT_AGENT_FIREWALL_ENABLED auf false fest.