ローカル サンドボックス設定の構成

/sandboxの Copilot CLI (コパイロット CLI) スラッシュ コマンドを使用して、ローカル サンドボックスでファイルシステム アクセス、ネットワーク接続、およびシステム機能を制限する方法を制御します。

この記事で

メモ

GitHub Copilot用のクラウドサンドボックスとローカル サンドボックス は パブリック プレビュー であり、変更される可能性があります。

ローカル サンドボックスの構成について

Copilot CLI (コパイロット CLI)でローカル サンドボックスを有効にすると、ユーザーに代わって実行Copilotシェル コマンドが分離サンドボックス内で実行されます。 /sandboxスラッシュ コマンドを使用して、サンドボックスの動作 (ファイルシステム パス、ネットワーク アクセス、全般設定の制御) を微調整できます。

設定は、settings.json構成ディレクトリのsandbox キーの下のCopilot CLI (コパイロット CLI)に格納されます。 構成ディレクトリの詳細については、 GitHub Copilot CLI の構成ディレクトリ を参照してください。

GitHub Copilot用のクラウドサンドボックスとローカルサンドボックスの概念の概要については、「AUTOTITLE」を参照してください。

サンドボックス構成を開く

  1. Copilot CLI (コパイロット CLI) セッションを開始します。

  2. /sandboxスラッシュ コマンドを入力します。

    これにより、対話型の構成インターフェイスが開き、3 つのタブ ( [全般]、[ ファイルシステム]、[ ネットワーク]) が表示されます。 タブを使用してタブを切り替えます。 Esc キーを押して変更を保存し、構成を閉じます。

全般設定の構成

[ 全般 ] タブでは、最上位レベルのサンドボックスの動作を制御します。

SettingDescription
サンドボックスの有効化オンにすると、Copilot が実行するシェルコマンドはサンドボックス内で実行されます。
/sandbox enable/sandbox disableで切り替えることもできます。
キーチェーン アクセスを許可する有効にすると、セキュリティで保護されたコマンドは macOS キーチェーンを使用できます。たとえば、 git および gh 資格情報ヘルパーによって使用される資格情報にアクセスできます。 セキュリティで保護されたプロセスが保存された資格情報を読み取らないようにする場合は、これをオフにします。

ファイルシステム設定の構成

[ファイルシステム] タブでは、サンドボックス プロセスがアクセスできるディレクトリとファイルを制御します。 既定では、サンドボックスは、プロジェクトの外部で意図しない読み取りまたは書き込みを防ぐために、ファイルシステムのアクセスを制限します。

SettingDescription
作業ディレクトリを含めるオンにすると、現在の作業ディレクトリが読み取り/書き込みパスの一覧に自動的に追加されます。 つまり、サンドボックス 化されたコマンドは、手動でパス リストに追加することなく、プロジェクト ディレクトリ内のファイルを読み書きできます。
終了時にポリシーをクリアオンにすると、サンドボックスが終了すると、すべてのファイルシステムのアクセス許可がリセットされます。 これにより、各セッションがクリーンなアクセス許可セットで開始されます。

ファイルシステムパスルールの追加

特定のパス 規則を追加して、サンドボックスに作業ディレクトリ外のディレクトリとファイルへの読み取り専用または読み取り/書き込みアクセス権を付与できます。

  1. [ ファイルシステム ] タブで 、A キーを押して新しいパス ルールを追加します。
  2. ファイルまたはディレクトリのパスを入力します。
  3. パスのアクセス許可レベルを設定します。

Enter キーを使用して既存のパス ルールを編集し、D を使用して削除します。

ネットワーク設定の構成

[ ネットワーク ] タブでは、セキュリティで保護されたプロセスがネットワーク接続を行うことができるかどうかを制御します。

SettingDescription
送信接続を許可するオンにすると、サンドボックス プロセスはインターネット上の外部ホストに到達できます。 サンドボックスをネットワークから完全に分離するには、これをオフにします。
ローカル ネットワークを許可するオンにすると、サンドボックス プロセスはローカル ネットワーク上のホスト (たとえば、LAN 上の localhost やその他のデバイス) に到達できます。

ネットワーク ホスト規則の追加

送信接続が制限されている場合は、特定のホスト規則を追加して、個々のホストへのアクセスを許可またはブロックできます。

  1. [ ネットワーク ] タブで 、A キーを押して新しいホスト 規則を追加します。
  2. ホスト名を入力します。
  3. ホストへのアクセスを許可またはブロックするかどうかを設定します。

Enter キーを使用して既存のホスト 規則を編集し、D を使用して削除します。

サンドボックスをすばやく有効または無効にする

完全な構成インターフェイスを開かずに、サンドボックスのオンとオフを切り替えることができます。

  • 有効:/sandbox enable セッションに「Copilot CLI (コパイロット CLI)」と入力します。
  • 無効: /sandbox disable セッションに「Copilot CLI (コパイロット CLI)」と入力します。

これらのコマンドは、[全般] タブの [サンドボックスの有効化] 設定を変更します。

詳細については、次を参照してください。