Como personalizar ou desabilitar o firewall para o agente de codificação do GitHub Copilot

Saiba como controlar os domínios e URLs que o Agente de codificação do Copilot pode acessar.

Neste artigo

Observação

O Agente de codificação do Copilot está em versão prévia pública e está sujeito a alterações. Durante a versão prévia, o uso do recurso está sujeito a Termos de licença de pré-lançamento do GitHub.

A configuração do firewall foi movida para a página de configurações do Agente de codificação do Copilot. As configurações anteriores salvas como variáveis do Ações serão mantidas nessa página.

Visão geral

Por padrão, o acesso do Copilot à Internet é limitado por um firewall.

Limitar o acesso à Internet ajuda a gerenciar riscos de exfiltração dos dados, em que um comportamento surpreendente do Copilot ou instruções mal-intencionadas fornecidas a ele pode fazer com que o código ou outras informações confidenciais sejam vazadas para locais remotos.

O firewall sempre permite o acesso a vários hosts que o Copilot usa para interagir com o GitHub. Por padrão, uma lista de permitidos recomendada também é habilitada para permitir que o agente baixe dependências.

Se o Copilot tentar fazer uma solicitação bloqueada pelo firewall, um aviso será adicionado ao corpo da pull request (se o Copilot estiver criando uma pull request pela primeira vez) ou a um comentário (se o Copilot estiver respondendo a um comentário da pull request). O aviso mostra o endereço bloqueado e o comando que tentou fazer a solicitação.

Captura de tela de um aviso do Copilot sobre o bloqueio pelo firewall.

Gerenciando a lista de permitidos recomendada do firewall

A lista de permitidos recomendada, habilitada por padrão, permite o acesso a:

  • Repositórios de pacotes de sistemas operacionais comuns (por exemplo, Debian, Ubuntu, Red Hat).
  • Registros de contêiner comuns (por exemplo, Docker Hub, Registro de Contêiner do Azure, Registro de Contêiner Elástico da AWS).
  • Registros de pacotes usados por linguagens de programação populares (C#, Dart, Go, Haskell, Java, JavaScript, Perl, PHP, Python, Ruby, Rust, Swift).
  • Autoridades de certificação comuns (para permitir que certificados SSL sejam validados).
  • Hosts usados para baixar navegadores da Web para o servidor MCP da Playwright.

Você pode optar por desativar a lista de permitidos recomendada.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Code &automation" da barra lateral, clique em Copilot e em agente de codificação.

  4. Alterne a configuração Recommended allowlist para off.

Para usar a lista de permitidos recomendada, além de sua própria lista de permitidos, mantenha a configuração da Lista de permitidos recomendada como ativada e adicione os endereços que deseja na página Personalizar lista de permitidos.

Você pode permitir endereços adicionais na lista de permitidos do firewall do agente.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Code &automation" da barra lateral, clique em Copilot e em agente de codificação.

  4. Clique em Personalizar lista de permitidos

  5. Adicione os endereços que você deseja incluir na lista de permitidos. Você pode incluir:

    • Domínios (por exemplo, packages.contoso.corp). O tráfego será permitido para o domínio especificado e quaisquer subdomínios.

      Exemplo: packages.contoso.corp vai permitir o tráfego para packages.contoso.corp e prod.packages.contoso.corp, mas não para artifacts.contoso.corp.

    • URLs (por exemplo, https://packages.contoso.corp/project-1/). O tráfego só será permitido no esquema (https) e no host (packages.contoso.corp) especificados, sendo limitado aos caminhos e seus descendentes especificados.

      Exemplo: https://packages.contoso.corp/project-1/ vai permitir o tráfego para https://packages.contoso.corp/project-1/ e https://packages.contoso.corp/project-1/tags/latest, mas não para https://packages.consoto.corp/project-2, ftp://packages.contoso.corp ou https://artifacts.contoso.corp.

  6. Clique em Adicionar Regra.

  7. Depois de validar sua lista, clique em Salvar alterações.

Como desabilitar o firewall

Aviso

Desabilitar o firewall permitirá que Copilot se conecte a qualquer host, aumentando os riscos de exfiltração de código ou outras informações confidenciais.

O firewall está habilitado por padrão. Para desabilitar o firewall, alterne a configuração Habilitar firewall para desativada.

Leitura adicional