Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

Descripción general

La configuración a nivel de equipo permite a los admins de Enterprise controlar el uso de Devin CLI en toda su organización.
  • Los admins de Devin Enterprise pueden gestionar esta configuración en el panel de Devin para clientes, en Settings → Enterprise → Windsurf (app.devin.ai/org/{orgName}/settings/windsurf). Los admins con acceso a Settings de Enterprise pueden hacerlo de forma autogestionada.
  • Los admins de Windsurf Enterprise pueden gestionar esta configuración en el panel de Windsurf en https://windsurf.com/team/cli-settings.
Solo la configuración específica de Devin CLI de estas páginas se aplica a Devin CLI. La configuración general de Windsurf Team Settings se aplica a Windsurf y no necesariamente a Devin CLI, a menos que también aparezca en la página de configuración de Devin CLI.

Settings disponibles

Modelos

Controla a qué modelos pueden acceder tus usuarios a través de Devin CLI. Puedes:
  • Permitir solo modelos específicos — Restringe el acceso de los usuarios a una lista seleccionada de modelos aprobados
  • Permitir todos los modelos — Da a los usuarios acceso a todos los modelos disponibles
Haz clic en Configurar para gestionar el acceso a los modelos de cada categoría.

Modelo predeterminado

También puedes fijar un modelo predeterminado para todo el equipo que Devin CLI usará en las sesiones nuevas. Es la misma configuración que Windsurf usa para su modelo predeterminado, así que con configurarla una vez se aplica en ambas superficies.
  • Si no se establece un modelo predeterminado para el equipo, Devin CLI usa su modelo predeterminado integrado.
  • Si el modelo predeterminado fijado no aparece en la lista de modelos permitidos anterior, Devin CLI vuelve al modelo predeterminado integrado; la allowlist siempre tiene prioridad.
  • Los usuarios pueden seguir cambiando de modelo durante una sesión; esta configuración solo controla el modelo inicial de las sesiones nuevas.
Los admins de Enterprise pueden configurar el modelo predeterminado desde la página Windsurf Team Settings, la página Devin CLI Settings o la página de Settings de Devin Enterprise orientada al cliente en app.devin.ai/org/{orgName}/settings/windsurf. Permite que el agente de la CLI de Devin realice búsquedas en la web en la Internet pública. Esto no afecta la capacidad del agente para leer URL específicas, ya que eso se realiza localmente en la máquina del usuario. Esta herramienta está deshabilitada de forma predeterminada para los equipos Enterprise.

Servidores MCP

Controla si tus usuarios pueden usar herramientas MCP (Model Context Protocol).
  • Activar/desactivar — Habilita o deshabilita por completo el uso de servidores MCP
  • Servidores MCP permitidos — Especifica a qué servidores MCP pueden conectarse los usuarios. Si no se agrega ningún servidor, todos los servidores están permitidos de forma predeterminada. Haz clic en Agregar servidor para restringir el acceso a servidores específicos.

Permisos del terminal

Configura reglas de permisos aplicadas por el equipo para el uso de Devin CLI. Estas reglas tienen la máxima precedencia y no pueden ser anuladas por la configuración local o del proyecto de cada usuario. Haz clic en Configurar para abrir el editor de permisos. La configuración requiere un objeto JSON con tres campos: 
{
  "deny": [
    "exec"
  ],
  "ask": [],
  "allow": [
    "Read(~/my-repository/**)"
  ]
}
  • deny — Acciones que se bloquean por completo (tiene la máxima prioridad)
  • ask — Acciones que siempre solicitan la aprobación del usuario
  • allow — Acciones que se aprueban automáticamente sin solicitar confirmación
Los permisos pueden ser por ámbito o por herramienta:
TipoFormatoEjemplo
Lectura de archivosRead(/path)Read(~/sensitive/**)
Escritura de archivosWrite(/path)Write(.env*)
Ejecución de comandosExec(cmd)Exec(rm), Exec(sudo)
Solicitudes HTTPFetch(url)Fetch(https://internal.api/*)
Por herramientaNombre de la herramientaread, edit, exec
Usa reglas de denegación impuestas por el equipo para impedir acciones en toda tu organización, como bloquear el acceso a directorios sensibles o comandos peligrosos como rm -rf o sudo.
Para obtener información detallada sobre la sintaxis de los permisos, los patrones glob y ejemplos de configuración, consulta la documentación de permisos.

Aplicación del sandbox

Controla el comportamiento del sandbox de tu organización. Estas Settings imponen aislamiento a nivel del sistema operativo en todas las sesiones de CLI, lo que restringe el acceso al sistema de archivos y el tráfico de red.

Modo de aplicación del sandbox

Establece el nivel de aplicación de la opción --sandbox en toda tu organización:
  • Opcional (predeterminado) — Los usuarios eligen si pasan --sandbox. No se aplica de forma forzada.
  • Requerido — La opción --sandbox se fuerza para todos los usuarios, incluso si no la pasan en la línea de comandos. Todas las sesiones de la CLI se ejecutan con aislamiento del sistema de archivos a nivel del sistema operativo, que aplica ámbitos de permisos de lectura y escritura.
En el futuro, un modo Estricto podría bloquear por completo la configuración del sandbox e impedir que los usuarios modifiquen sus ajustes. Cuando el sandbox está activo:
  • Las rutas con escritura se derivan de los ámbitos de permisos Write(...) concedidos, además del directorio del workspace
  • Las rutas con lectura se derivan de los ámbitos Read(...) concedidos (los valores predeterminados de la plataforma, como /usr/bin, siempre tienen permiso de lectura)
  • Los ámbitos concedidos a mitad de sesión amplían dinámicamente el sandbox para los comandos posteriores
Si falla la resolución del sandbox (p. ej., porque las herramientas de aislamiento no están disponibles en la plataforma del usuario), la CLI se negará a iniciarse en lugar de ejecutarse sin sandbox. Este comportamiento de fallo cerrado se aplica tanto si el sandbox se habilitó mediante esta configuración del equipo como si el usuario pasó --sandbox directamente, lo que garantiza que la intención de seguridad nunca se omita de forma silenciosa.Cuando Enterprise lo exige, los usuarios verán un error que les indicará que contacten con el administrador de su equipo. Cuando lo inicia el usuario, el error sugiere ejecutar sin --sandbox para continuar sin aislamiento a nivel del sistema operativo.Causas comunes de fallo en la resolución del sandbox:
  • Windows: El aislamiento a nivel del sistema operativo no es compatible actualmente con Windows. Las sesiones fallarán inmediatamente en Windows cuando se pase --sandbox o cuando la aplicación del sandbox sea Requerida, incluso cuando la CLI se ejecute como servidor ACP dentro de un IDE (p. ej., Windsurf).
  • Linux: El sandbox requiere que bubblewrap (bwrap) y socat estén instalados. Si faltan, las sesiones fallarán inmediatamente y mostrarán instrucciones de instalación.
  • Errores de ámbito de permisos: Rutas no válidas en ámbitos de permisos que no se pueden resolver.
Asegúrate de que todas las máquinas de destino estén aprovisionadas antes de establecer el modo de aplicación del sandbox en Requerido en toda tu organización. Si algún usuario está en Windows, no podrá ejecutar la CLI hasta que el aislamiento a nivel del sistema operativo sea compatible con Windows o la política se flexibilice a Opcional.

Filtrado de dominios

Configure las listas de permitidos y denegados de dominios para toda la organización para el filtrado de red del sandbox.
  • Lista de permitidos de dominios — Cuando se configura, solo se puede acceder a los dominios de esta lista a través del proxy de red del sandbox. Esta lista es definitiva: reemplaza por completo cualquier allowed_domains configurado por el usuario en su configuración del sandbox. Los usuarios no pueden agregar dominios adicionales para eludir las restricciones del Admin.
  • Lista de denegados de dominios — Dominios que siempre se bloquean. Los dominios denegados de Enterprise son aditivos: se combinan con los denied_domains locales del usuario, lo que hace que la lista resultante sea más restrictiva.
Consulte la referencia de configuración del sandbox para ver la sintaxis de los patrones de dominio (p. ej., *.example.com, **.example.com). Cómo interactúan las listas de dominios de Enterprise y del usuario:
EscenarioConfiguración de EnterpriseConfiguración del usuarioResultado efectivo
El Admin configura una lista de permitidosallowed_domains: ["github.com"]allowed_domains: ["npmjs.org"]Solo se permite github.com (Enterprise reemplaza la lista del usuario)
El Admin configura una lista de denegadosdenied_domains: ["evil.com"]denied_domains: ["risky.io"]Se bloquean tanto evil.com como risky.io (combinadas)
No hay lista de permitidos del Adminallowed_domains: []allowed_domains: ["github.com"]Se usa la lista de permitidos del usuario
Como los denied_domains locales del usuario se conservan y se combinan de forma aditiva, un usuario podría denegar un dominio que aparezca en la lista de permitidos de Enterprise. Esto es intencional: el efecto combinado siempre es más restrictivo, nunca menos. Si esto causa problemas de acceso, el usuario debe eliminar la entrada en conflicto de su configuración local.
Combine la aplicación del sandbox con reglas de denegación de permisos del equipo (p. ej., Write(/etc)) para evitar que los agentes modifiquen directorios sensibles tanto a nivel de permisos como del sistema operativo. Las reglas de denegación de permisos impiden que el agente siquiera intente la acción, mientras que el sandbox proporciona una segunda capa de protección a nivel del sistema operativo.

Mostrar “Install Devin CLI” en la paleta de comandos de Windsurf

Devin CLI viene incluido con Windsurf (a partir de la versión 1.9577.24), pero requiere una activación explícita por parte de un Admin. Activa esta opción para permitir que tus usuarios instalen Devin CLI directamente desde la paleta de comandos de Windsurf. Una vez activada, los usuarios pueden abrir la paleta de comandos (Cmd+Shift+P en macOS o Ctrl+Shift+P en Windows/Linux) y ejecutar Install Devin CLI para agregar el binario devin a su PATH.
Esta opción está disponible en los planes Windsurf Enterprise y Devin Enterprise y está desactivada de forma predeterminada.

Más información

Para comprender mejor cómo configurar Devin CLI, consulta la documentación de configuración.