Konfigurieren lokaler Sandkasteneinstellungen

Verwenden Sie in Copilot CLI den /sandbox Slash-Befehl, um zu steuern, wie die lokale Sandbox den Dateisystemzugriff, die Netzwerkkonnektivität und die Systemfunktionen einschränkt.

In diesem Artikel

Hinweis

Cloud- und lokale Sandkasten für GitHub Copilot ist in Öffentliche Vorschau und kann geändert werden.

Informationen zur lokalen Sandkastenkonfiguration

Wenn Sie die lokale Sandbox-Ausführung in Copilot CLI aktivieren, werden Shell-Befehle, die Copilot in Ihrem Auftrag ausführt, innerhalb einer isolierten Sandbox ausgeführt. Mit dem /sandbox Slash-Befehl können Sie das Verhalten der Sandbox feinabstimmen, indem Sie Dateisystempfade, den Netzwerkzugriff und allgemeine Einstellungen steuern.

Einstellungen werden unter dem settings.json Schlüssel in Ihrem sandbox Konfigurationsverzeichnis gespeichertCopilot CLI. Weitere Informationen zum Konfigurationsverzeichnis finden Sie unter GitHub Copilot CLI-Konfigurationsverzeichnis.

Eine konzeptionelle Übersicht über Cloud- und lokale Sandkasten für GitHub Copilot finden Sie unter Informationen zum Cloud- und lokale Sandkasten für GitHub Copilot.

Öffnen der Sandkastenkonfiguration

  1. Starten Sie eine Copilot CLI Sitzung.

  2. Geben Sie den /sandbox Schrägstrichbefehl ein.

    Dadurch wird eine interaktive Konfigurationsschnittstelle mit drei Registerkarten geöffnet: Allgemein, Dateisystem und Netzwerk. Verwenden Sie TAB , um zwischen Registerkarten zu wechseln. Drücken Sie ESC , um Ihre Änderungen zu speichern und die Konfiguration zu schließen.

Konfigurieren allgemeiner Einstellungen

Auf der Registerkarte " Allgemein " wird das Verhalten der Sandbox auf oberster Ebene gesteuert.

SettingDescription
Sandboxing aktiviertWenn diese Option aktiviert ist, werden Shell-Befehle, die von Copilot ausgeführt werden, in der Sandbox ausgeführt. Sie können dies auch mit /sandbox enable und /sandbox disable umschalten.
Zulassen des SchlüsselbundzugriffsWenn diese Option aktiviert ist, können Sandkastenbefehle den macOS-Schlüsselbund verwenden, z. B. für den Zugriff auf Anmeldeinformationen, die von git und gh Anmeldeinformationshilfsern verwendet werden. Deaktivieren Sie diese Option, wenn Sie verhindern möchten, dass Sandkastenprozesse gespeicherte Anmeldeinformationen lesen.

Konfigurieren von Dateisystemeinstellungen

Auf der Registerkarte "Dateisystem " wird gesteuert, auf welche Verzeichnisse und Dateien der Sandkastenprozess zugreifen kann. Standardmäßig schränkt der Sandkasten den Dateisystemzugriff ein, um unbeabsichtigte Lese- oder Schreibvorgänge außerhalb Ihres Projekts zu verhindern.

SettingDescription
Arbeitsverzeichnis einschließenWenn diese Option aktiviert ist, wird das aktuelle Arbeitsverzeichnis automatisch der Liste der Lese-/Schreibpfade hinzugefügt. Dies bedeutet, dass Sandkastenbefehle Dateien in Ihrem Projektverzeichnis lesen und schreiben können, ohne sie manuell zur Pfadliste hinzuzufügen.
Richtlinie beim Beenden löschenWenn diese Option aktiviert ist, werden alle Dateisystemberechtigungen zurückgesetzt, wenn die Sandbox beendet wird. Dadurch wird sichergestellt, dass jede Sitzung mit einem sauberen Satz von Berechtigungen beginnt.

Hinzufügen von Dateisystempfadregeln

Sie können bestimmte Pfadregeln hinzufügen, um der Sandbox schreibgeschützten Zugriff oder Lese-/Schreibzugriff auf Verzeichnisse und Dateien außerhalb des Arbeitsverzeichnisses zu gewähren.

  1. Drücken Sie auf der Registerkarte " Dateisystem " A , um eine neue Pfadregel hinzuzufügen.
  2. Geben Sie den Datei- oder Verzeichnispfad ein.
  3. Legen Sie die Berechtigungsstufe für den Pfad fest.

Verwenden Sie die EINGABETASTE , um eine vorhandene Pfadregel zu bearbeiten, und D , um eine zu löschen.

Konfigurieren von Netzwerkeinstellungen

Auf der Registerkarte "Netzwerk " wird gesteuert, ob Sandkastenprozesse Netzwerkverbindungen herstellen können.

SettingDescription
Ausgehende Verbindungen zulassenWenn diese Option aktiviert ist, kann der Sandkastenprozess externe Hosts im Internet erreichen. Deaktivieren Sie diese Option, um den Sandkasten vollständig vom Netzwerk zu isolieren.
Lokales Netzwerk zulassenWenn diese Option aktiviert ist, kann der Sandbox-Prozess Hosts in Ihrem lokalen Netzwerk erreichen (zum Beispiel localhost oder andere Geräte in Ihrem LAN).

Hinzufügen von Netzwerkhostregeln

Sie können bestimmte Hostregeln hinzufügen, um den Zugriff auf einzelne Hosts zuzulassen oder zu blockieren, wenn ausgehende Verbindungen andernfalls eingeschränkt sind.

  1. Drücken Sie auf der Registerkarte "Netzwerk " A , um eine neue Hostregel hinzuzufügen.
  2. Geben Sie den Hostnamen ein.
  3. Legen Sie fest, ob der Zugriff auf den Host zugelassen oder blockiert werden soll.

Verwenden Sie die EINGABETASTE , um eine vorhandene Hostregel zu bearbeiten, und D , um eine zu löschen.

Schnelles Aktivieren und Deaktivieren der Sandbox

Sie können den Sandkasten ein- oder ausschalten, ohne die vollständige Konfigurationsschnittstelle zu öffnen:

  • Enable: Geben Sie /sandbox enable in der Copilot CLI-Sitzung ein.
  • Deaktivieren: Geben Sie /sandbox disable in die Copilot CLI-Sitzung ein.

Diese Befehle ändern die Einstellung " Sandboxing aktiviert " auf der Registerkarte " Allgemein ".

Weiterführende Lektüre