Personalización o deshabilitación del firewall para el agente de codificación de Copilot

Obtén información sobre cómo controlar los dominios y direcciones URL a los que puede acceder Agente de codificación de Copilot.

En este artículo

Nota:

Agente de codificación de Copilot se encuentra en versión preliminar pública y está sujeto a cambios. Durante la versión preliminar, el uso de la característica está sujeto a Términos de licencia de la versión preliminar de GitHub.

Para obtener más información sobre Agente de codificación de Copilot, consulta About Copilot coding agent.

Información general

De manera predeterminada, el acceso de Copilot a Internet está limitado por un firewall.

Limitar el acceso a Internet ayuda a administrar los riesgos de filtración de datos, donde un comportamiento sorprendente de Copilot, o instrucciones malintencionadas que se le proporcionan, podría provocar que el código u otra información confidencial se filtre a ubicaciones remotas.

Las reglas de firewall predeterminadas permiten el acceso a varios hosts que Copilot usa para interactuar con GitHub o para descargar dependencias.

Si Copilot intenta realizar una solicitud bloqueada por el firewall, se agrega una advertencia al cuerpo de la solicitud de incorporación de cambios (si Copilot está creando una solicitud de incorporación de cambios por primera vez) o a un comentario (si Copilot responde a un comentario de solicitud de incorporación de cambios). La advertencia muestra la dirección bloqueada y el comando que intentó realizar la solicitud.

Captura de pantalla de una advertencia de Copilot acerca de que está bloqueado por un firewall.

Lista de permitidos de hosts adicionales en el firewall del agente

Puedes incluir direcciones adicionales en el firewall del agente estableciendo la variable COPILOT_AGENT_FIREWALL_ALLOW_LIST_ADDITIONS GitHub Actions en una lista separada por comas. En esa lista, puedes incluir:

  • Dominios (por ejemplo, packages.contoso.corp), en cuyo caso se permitirá el tráfico a ese dominio y a cualquier subdominio.

    Ejemplo: packages.contoso.corp permitiría el tráfico a packages.contoso.corp y prod.packages.contoso.corp, pero no a artifacts.contoso.corp.

  • Direcciones URL (por ejemplo, https://packages.contoso.corp/project-1/), en cuyo caso solo se permitirá el tráfico en el esquema especificado (https) y host (packages.contoso.corp) y limitado a la ruta de acceso especificada y las rutas de acceso descendientes.

    Ejemplo: https://packages.contoso.corp/project-1/ permitiría el tráfico a https://packages.contoso.corp/project-1/ y https://packages.contoso.corp/project-1/tags/latest, pero no a https://packages.consoto.corp/project-2, ftp://packages.contoso.corp o https://artifacts.contoso.corp.

Sobrescritura de la lista de permitidos del firewall

De manera predeterminada, el firewall permite el acceso a varios hosts que se usan normalmente para descargar dependencias o que Copilot usa para interactuar con GitHub.

Para borrar completamente esta lista de permitidos predeterminada y empezar de nuevo desde cero, establece la variable COPILOT_AGENT_FIREWALL_ALLOW_LIST GitHub Actions en una lista separada por comas de hosts.

Por ejemplo, para permitir solo el acceso a packages.contoso.corp y artifacts.contoso.corp, establece la variable COPILOT_AGENT_FIREWALL_ALLOW_LIST en packages.contoso.corp,artifacts.contoso.corp.

Deshabilitación del firewall

Advertencia

Al deshabilitar el firewall, Copilot se conectará a cualquier host, lo que aumentará los riesgos de filtración del código u otra información confidencial.

El firewall está habilitado de manera predeterminada. Para deshabilitar el firewall, establece la variable COPILOT_AGENT_FIREWALL_ENABLED GitHub Actions en false.

Información adicional