Configurando as configurações locais da sandbox

Use o comando de barra /sandbox em CLI do Copilot para controlar como a sandbox local restringe o acesso ao sistema de arquivos, a conectividade de rede e as capacidades do sistema.

Neste artigo

Observação

Áreas restritas locais e de nuvem para GitHub Copilot está dentro prévia pública e sujeito a alterações.

Sobre a configuração do sandbox local

Quando você ativa o sandboxing local em CLI do Copilot, os comandos de shell que Copilot executa em seu nome são executados dentro de um sandbox isolado. Você pode ajustar o comportamento da sandbox — controlando caminhos no sistema de arquivos, acesso à rede e configurações gerais — usando o comando de barra /sandbox.

As configurações são armazenadas em settings.json, sob a chave sandbox, no diretório de configuração CLI do Copilot. Para obter mais informações sobre o diretório de configuração, consulte Diretório de configuração do GitHub Copilot CLI.

Para obter uma visão geral conceitual de áreas restritas locais e de nuvem para GitHub Copilot, consulte Sobre o áreas restritas locais e de nuvem para GitHub Copilot.

Abrindo a configuração do sandbox

  1. Inicie uma CLI do Copilot sessão.

  2. Insira o comando barra /sandbox.

    Isso abre uma interface de configuração interativa com três guias: Geral, Sistema de Arquivos e Rede. Use a tecla Tab para alternar entre as abas. Pressione Esc para salvar suas alterações e fechar a configuração.

Configurando configurações gerais

A guia Geral define o comportamento da sandbox no nível superior.

SettingDescription
Isolamento habilitadoQuando ativada, os comandos de shell que Copilot executa são executados dentro da sandbox. Você também pode alternar isso com /sandbox enable e /sandbox disable.
Permitir acesso ao conjunto de chavesQuando ativada, os comandos isolados podem usar as Chaves do macOS — por exemplo, para acessar credenciais usadas pelos auxiliares de credenciais git e gh. Desative isso se você quiser impedir que processos em área restrita leiam credenciais armazenadas.

Definindo as configurações do sistema de arquivos

A guia Sistema de Arquivos controla quais diretórios e arquivos o processo em área restrita pode acessar. Por padrão, a área restrita restringe o acesso ao sistema de arquivos para impedir leituras ou gravações não intencionais fora do projeto.

SettingDescription
Incluir diretório de trabalhoQuando ativado, o diretório de trabalho atual é adicionado automaticamente à lista de caminhos de leitura/gravação. Isso significa que os comandos em área restrita podem ler e gravar arquivos no diretório do projeto sem adicioná-los manualmente à lista de caminhos.
Limpar a política ao sairQuando essa opção é ativada, todas as permissões do sistema de arquivos são redefinidas quando a sandbox é encerrada. Isso garante que cada sessão comece com um conjunto limpo de permissões.

Adicionando regras de caminho do sistema de arquivos

Você pode adicionar regras de caminho específicas para conceder à sandbox acesso somente de leitura ou de leitura/gravação a diretórios e arquivos fora do diretório de trabalho.

  1. Na guia Sistema de Arquivos , pressione A para adicionar uma nova regra de caminho.
  2. Insira o caminho do arquivo ou diretório.
  3. Defina o nível de permissão para o caminho.

Use Enter para editar uma regra de caminho existente e D para excluir uma.

Definindo as configurações de rede

A aba Rede controla se os processos isolados em sandbox podem estabelecer conexões de rede.

SettingDescription
Permitir conexões de saídaQuando habilitado, o processo em sandbox pode acessar hosts externos na internet. Desative isso para isolar totalmente a área restrita da rede.
Permitir rede localQuando ativado, o processo em sandbox pode acessar hosts na sua rede local (por exemplo, localhost ou outros dispositivos na sua LAN).

Adicionando regras de host de rede

Você pode adicionar regras de host específicas para permitir ou bloquear o acesso a hosts individuais quando as conexões de saída forem restritas de outra forma.

  1. Na guia Rede , pressione A para adicionar uma nova regra de host.
  2. Introduza o nome do anfitrião.
  3. Defina se deseja permitir ou bloquear o acesso ao host.

Use Enter para editar uma regra de host existente e D para excluir uma.

Habilitar e desabilitar a sandbox rapidamente

Você pode ativar ou desativar o sandbox sem abrir a interface de configuração completa:

  • Habilitar: insira /sandbox enable na sessão CLI do Copilot.
  • Desativar: insira /sandbox disable na sessão CLI do Copilot.

Esses comandos alteram a configuração Sandbox ativado na guia Geral.

Leitura adicional