注意
Copilot 编码智能体 为 公共预览版,可能会变动。 在预览期间,该功能的使用须遵循“GitHub 预发行许可条款”。
有关 Copilot 编码智能体 的详细信息,请参阅“About Copilot coding agent”。
概述
默认情况下,Copilot 对 Internet 的访问权限受防火墙限制。
限制对 Internet 的访问有助于管理数据外泄风险,因为 Copilot 的出人意料的行为或向其发出的恶意指令可能导致代码或其他敏感信息泄露到远程位置。
默认防火墙规则允许访问 Copilot 用于与 GitHub 交互或下载依赖项的多个主机。
如果 Copilot 尝试发出受防火墙阻止的请求,则会在拉取请求正文中添加警告(如果 Copilot 是第一次创建拉取请求)或在评论中添加警告(如果 Copilot 正在回应拉取请求评论)。 警告会显示受阻止的地址和试图发出请求的命令。
在代理的防火墙中将其他主机列入允许列表
可以通过将 COPILOT_AGENT_FIREWALL_ALLOW_LIST_ADDITIONS GitHub Actions 变量设置为以逗号分隔的列表,将代理防火墙中的其他地址列入允许列表。 在该列表中,可以包括以下项:
-
域(例如
packages.contoso.corp),在这种情况下,将允许流量进入该域及其所有子域****。示例:
packages.contoso.corp允许流量到达packages.contoso.corp和prod.packages.contoso.corp,但不允许到达artifacts.contoso.corp****。 -
URL(例如
https://packages.contoso.corp/project-1/),在这种情况下,将仅允许在指定的方案 (https) 和主机 (packages.contoso.corp) 上传输流量,并且仅限于指定的路径和后代路径****。示例:
https://packages.contoso.corp/project-1/允许流量到达https://packages.contoso.corp/project-1/和https://packages.contoso.corp/project-1/tags/latest,但不允许到达https://packages.consoto.corp/project-2、ftp://packages.contoso.corp或https://artifacts.contoso.corp****。
覆盖防火墙允许列表
默认情况下,防火墙允许访问许多通常用于下载依赖项或 Copilot 用于与 GitHub 交互的主机。
若要完全清除此默认允许列表并从头开始,请将 COPILOT_AGENT_FIREWALL_ALLOW_LIST GitHub Actions 变量设置为以逗号分隔的主机列表。
例如,若要_仅_允许访问 packages.contoso.corp 和 artifacts.contoso.corp,请将 COPILOT_AGENT_FIREWALL_ALLOW_LIST 变量设置为 packages.contoso.corp,artifacts.contoso.corp。
禁用防火墙
警告
禁用防火墙将允许 Copilot 连接到任何主机,从而增加代码或其他敏感信息外泄的风险。
默认情况下会启用防火墙。 若要禁用防火墙,请将 COPILOT_AGENT_FIREWALL_ENABLED GitHub Actions 变量设置为 false。