Avant d'activer agent Copilot de cloud, il est recommandé de configurer votre entreprise afin d'assurer que Copilot fonctionne dans un cadre sécurisé et prévisible.
En savoir plus sur les protections intégrées
agent Copilot de cloud dispose d’une base forte de protections de sécurité intégrées conçues pour se protéger contre les points de risque courants des agents IA. Consultez « [AUTOTITLE](/copilot/concepts/agents/coding-agent/risks-and-mitigations) ».
Paramètres de politique de planification
Planifiez vos politiques pour agent Copilot de cloud à l'avance. Les stratégies vous permettent de définir une base de référence pour les restrictions au niveau de l’entreprise, que les propriétaires de l’organisation peuvent restreindre davantage si nécessaire.
Voici quelques questions à poser :
- Dans quelles organisations et référentiels seront agent Copilot de cloud activés ? Consultez « Gestion de l’accès à GitHub Copilot agent cloud ».
- Quels serveurs MCP configurez-vous pour accorder agent Copilot de cloud l’accès aux outils externes ? Consultez « Extension GitHub Copilot agent cloud avec le protocole MCP (Model Context Protocol) ».
Quelles stratégies ne s’appliquent pas ?
Les stratégies suivantes Copilot ne s’appliquent pas à agent Copilot de cloud:
- Exclusions de contenu
- Modèles personnalisés (fournissant vos propres clés API LLM)
- Registres MCP privés
Adapter des ensembles de règles
agent Copilot de cloud est déjà restreint pour des actions telles que le push vers une branche par défaut ou la fusion de pull requests. Vous pouvez vous appuyer sur ces protections par défaut dans les ensembles de règles de branche.
agent Copilot de cloud est soumis à des ensembles de règles comme les développeurs humains.
Pour adapter vos ensembles de règles pour agent Copilot de cloud:
-
**Déterminez si des règles supplémentaires sont requises** dans les référentiels où les agents fonctionnent, comme exiger des résultats à partir de code scanning ou Code Quality. Si vous avez identifié les organisations ou référentiels où agent Copilot de cloud seront activés, vous pouvez appliquer une propriété personnalisée pour qu’elles soient faciles à cibler dans un ensemble de règles. -
**Déterminez si agent Copilot de cloud sera bloqué par l’un de vos ensembles de règles existants.** Copilot _peut_ signer ses validations, mais elle peut ne pas être en mesure de suivre d’autres règles qui limitent les métadonnées de validation. -
**Protégez les fichiers de configuration importants Copilot et MCP** avec un `CODEOWNERS` fichier et activez la règle « Exiger une révision des propriétaires de code », de sorte que les modifications de ces fichiers doivent être approuvées par des équipes spécifiques. Pour les chemins de fichier à cibler, consultez [AUTOTITLE](/copilot/reference/customization-cheat-sheet).
Configurer votre GitHub Actions environnement
agent Copilot de cloud fonctionne sur GitHub Actions les coureurs. Configurez vos exécuteurs et stratégies pour qu’ils Copilot fonctionnent en toute sécurité.
Stocker des données et des secrets
Continuez à stocker des données et des jetons que vous ne souhaitez Copilot pas accéder en tant que GitHub Actions variables ou secrets. Copilot ne pourra pas y accéder dans ses sessions ou étapes de configuration de l’environnement.
Si vous devez fournir des données et des secrets dont agent Copilot de cloud vous avez besoin, vous pourrez le faire dans un environnement spécifiquecopilot.
Configurer des exécuteurs
Déterminez les coureurs que vous utiliserez pour agent Copilot de cloud. Nous vous recommandons d’utiliser GitHubdes exécuteurs hébergés, afin que chaque agent Copilot de cloud exécution s’exécute sur une nouvelle machine virtuelle. Si vous utilisez des exécuteurs auto-hébergés, nous recommandons l'utilisation d'exécuteurs éphémères.
Les propriétaires de l’organisation peuvent limiter l'utilisation des agent Copilot de cloudexécuteurs à une étiquette d’exécuteur spécifique, afin qu'elle soit appliquée automatiquement dans tous les dépôts. Consultez « Configurer les runners pour l'agent cloud GitHub Copilot dans votre organisation ».
Configurer des stratégies de flux de travail
Déterminez si GitHub Actions les flux de travail doivent être empêchés de s'exécuter dans des demandes de tirage créées par agent Copilot de cloud. Consultez « Configuration des paramètres pour GitHub Copilot agent cloud ».
Par défaut, les flux de travail ne sont pas exécutés jusqu’à ce que quelqu’un disposant d’un accès en écriture les approuve. Les administrateurs de référentiel pourront désactiver cette fonctionnalité. Par conséquent, communiquez avec eux à l’avance sur votre paramètre préféré.
Passer en revue les autorisations par défaut
Passez en revue les autorisations par défaut pour GITHUB_TOKEN dans votre entreprise. Consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».
Cette stratégie n’affecte pas le jeton qui Copilot recevra pour ses sessions, mais il GITHUB_TOKENest utilisé dans les étapes de configuration de l’environnement définies dans les copilot-setup-steps.yml fichiers de flux de travail.
N’oubliez pas que les développeurs pourront définir leurs propres permissions fichiers de flux de travail et vous devez les encourager à utiliser les autorisations minimales requises dans tous les flux de travail.
Étapes suivantes
Lorsque vous êtes prêt à l’activer agent Copilot de cloud, consultez Gestion de GitHub Copilot agent cloud dans votre entreprise.