Antes de habilitar agente en la nube de Copilot, se recomienda configurar su empresa para que pueda estar seguro Copilot de que funcionará dentro de barreras de protección seguras y predecibles.
Más información sobre las protecciones integradas
agente en la nube de Copilot tiene una base sólida de protecciones de seguridad integradas diseñadas para protegerse contra los puntos de riesgo comunes de los agentes de inteligencia artificial. Consulte [AUTOTITLE](/copilot/concepts/agents/coding-agent/risks-and-mitigations).
Planificar la configuración de políticas
Planee de antemano las directivas para agente en la nube de Copilot. Las directivas permiten establecer una línea de base para las restricciones en el nivel empresarial, que los propietarios de la organización pueden restringir aún más si es necesario.
Algunas preguntas que debe formular son:
- ¿En qué organizaciones y repositorios se habilitará agente en la nube de Copilot ? Consulte Administración del acceso al agente de nube de GitHub Copilot.
- ¿Qué servidores MCP configurará para conceder agente en la nube de Copilot acceso a las herramientas externas? Consulte Extensión del agente en la nube de GitHub Copilot con el Protocolo de Contexto de Modelo (MCP).
¿Qué directivas no se aplican?
Las siguientes Copilot directivas no se aplican a agente en la nube de Copilot:
- Exclusiones de contenido
- Modelos personalizados (proporcionando sus propias claves de API de LLM)
- Registros de MCP privados
Adaptar conjuntos de reglas
agente en la nube de Copilot ya está restringido de acciones como subir a una rama predeterminada o fusionar pull requests. Puede basar estas protecciones predeterminadas en conjuntos de reglas de rama.
agente en la nube de Copilot está sujeto a conjuntos de reglas como los desarrolladores humanos.
Para adaptar los conjuntos de reglas para agente en la nube de Copilot:
-
**Considere si se requieren reglas adicionales** en repositorios en los que funcionarán los agentes, como requerir resultados de code scanning o Code Quality. Si ha identificado las organizaciones o repositorios donde agente en la nube de Copilot se habilitará, puede aplicar una propiedad personalizada a ellos para que sean fáciles de tener como destino en un conjunto de reglas. -
**Considere si agente en la nube de Copilot será bloqueado por alguno de sus conjuntos de reglas existentes.** Copilot _puede_ firmar sus confirmaciones, pero es posible que no pueda seguir otras reglas que restrinjan los metadatos de confirmación. -
**Proteja los archivos de configuración importantes Copilot y MCP** con un `CODEOWNERS` archivo y habilite la regla "Requerir revisión de propietarios de código" para que los equipos específicos aprueben las modificaciones en estos archivos. Para ver las rutas de archivo de destino, consulte [AUTOTITLE](/copilot/reference/customization-cheat-sheet).
Configure su entorno GitHub Actions
agente en la nube de Copilot funciona en GitHub Actions corredores. Configure los ejecutores y políticas para que Copilot opere de manera segura.
Almacenamiento de datos y secretos
Continúe almacenando datos y tokens a los que no desea Copilot acceder como GitHub Actions variables o secretos. Copilot no podrá acceder a ellos en sus sesiones ni en los pasos de configuración del entorno.
Si necesita proporcionar datos y secretos que agente en la nube de Copilot_necesite_ , podrá hacerlo en un entorno específico copilot .
Configuración de ejecutores
Decida qué runners usará para agente en la nube de Copilot. Se recomienda usar GitHubejecutores hospedados para que cada se agente en la nube de Copilot ejecute en una máquina virtual nueva. Si usa corredores autohospedados, recomendamos usar corredores efímeros.
Los propietarios de la organización pueden restringir los ejecutores de agente en la nube de Copilot a una etiqueta específica de ejecutor, para que se usen automáticamente en todos los repositorios. Consulte Configuración de runners para el agente de GitHub Copilot en la nube de tu organización.
Configuración de directivas de flujo de trabajo
Decida si GitHub Actions los flujos de trabajo deben bloquearse para ejecutarse en las solicitudes de incorporación de cambios que agente en la nube de Copilot crea. Consulte Configuración de opciones para GitHub Copilot agente en la nube.
De forma predeterminada, se impide que los flujos de trabajo se ejecuten hasta que alguien con acceso de escritura los apruebe. Los administradores del repositorio podrán deshabilitar esta característica, por lo que se comunicarán con ellos con antelación sobre su configuración preferida.
Revisión de los permisos predeterminados
Revise los permisos predeterminados del GITHUB_TOKEN en su empresa. Consulte Aplicación de directivas para GitHub Actions en la empresa.
Esta política no afecta al token que Copilot recibirá para sus sesiones, pero GITHUB_TOKENse usa en los pasos de configuración del entorno definidos en copilot-setup-steps.yml archivos de flujo de trabajo.
Tenga en cuenta que los desarrolladores podrán establecer sus propios permissions dentro de estos archivos de flujo de trabajo, y debería alentarlos a utilizar los permisos mínimos necesarios en todos los flujos de trabajo.
Pasos siguientes
Cuando esté listo para habilitar agente en la nube de Copilot, consulte Administración del agente de nube de GitHub Copilot en su empresa.