Antes de habilitar agente de nuvem Copilot, é uma boa prática configurar sua empresa para que você possa estar confiante de que Copilot irá operar dentro de diretrizes seguras e previsíveis.
Saiba mais sobre proteções internas
agente de nuvem Copilot tem uma base forte de proteções de segurança internas projetadas para proteger contra pontos de risco comuns de agentes de IA. Consulte [AUTOTITLE](/copilot/concepts/agents/coding-agent/risks-and-mitigations).
Planejar configurações de política
Planeje suas políticas com agente de nuvem Copilot antecedência. As políticas permitem que você defina uma linha de base para restrições no nível empresarial, que os proprietários da organização podem restringir ainda mais, se necessário.
Algumas perguntas a serem feitas são:
- Em quais organizações e repositórios serão agente de nuvem Copilot habilitados? Consulte Gerenciando o acesso ao agente de nuvem GitHub Copilot.
- Quais servidores MCP você configurará para dar agente de nuvem Copilot acesso a ferramentas externas? Consulte Estendendo o agente de nuvem do GitHub Copilot com o Protocolo de Contexto de Modelo (MCP).
Quais políticas não se aplicam?
As políticas Copilot a seguir não se aplicam a agente de nuvem Copilot:
- Exclusões de conteúdo
- Modelos personalizados (fornecendo suas próprias chaves de API LLM)
- Registros MCP privados
Adaptar conjuntos de regras
agente de nuvem Copilot já está restrito de ações como fazer push para um branch padrão ou mesclar pull requests. Você pode expandir essas proteções padrão em conjuntos de regras de ramo.
agente de nuvem Copilot está sujeito a conjuntos de regras, assim como os desenvolvedores humanos.
Para adaptar seus conjuntos de regras para agente de nuvem Copilot:
-
**Considere se regras adicionais são necessárias** em repositórios em que os agentes operarão, como exigir resultados de code scanning ou Code Quality. Se você identificou as organizações ou repositórios onde agente de nuvem Copilot serão habilitados, poderá aplicar uma propriedade personalizada a elas para que elas sejam fáceis de direcionar em um conjunto de regras. -
**Considere se agente de nuvem Copilot será bloqueado** por qualquer um de seus conjuntos de regras existentes. Copilot _pode_ assinar suas confirmações, mas pode não ser capaz de seguir outras regras que restringem os metadados de confirmação. -
**Proteja arquivos de configuração importantes Copilot e MCP** com um `CODEOWNERS` arquivo e habilite a regra "Exigir revisão dos Proprietários de Código" para que as edições nesses arquivos sejam aprovadas por equipes específicas. Para os caminhos de arquivo alvo, consulte [AUTOTITLE](/copilot/reference/customization-cheat-sheet).
Configurar seu GitHub Actions ambiente
agente de nuvem Copilot opera em GitHub Actions corredores. Configure seus executores e políticas para que funcionem Copilot com segurança.
Armazenar dados e segredos
Continua armazenando dados e tokens que você não deseja Copilot acessar como GitHub Actions variáveis ou como segredos. Copilot não poderá acessá-los em suas sessões ou etapas de configuração do ambiente.
Se você precisar fornecer dados e segredos que agente de nuvem Copilot_ele_ precisa, poderá fazer isso em um ambiente específicocopilot.
Configurar executores
Decida quais corredores você usará para agente de nuvem Copilot. É recomendável usar GitHubexecutores hospedados, para que cada agente de nuvem Copilot seja executado em uma nova máquina virtual. Se você usar corredores auto-hospedados, recomendamos usar corredores efêmeros.
Os proprietários da organização podem restringir os agente de nuvem Copilot executores a um rótulo específico de executor, a ser usado automaticamente em todos os repositórios. Consulte Configurando executores do agente de nuvem do GitHub Copilot em sua organização.
Configurar políticas de fluxo de trabalho
Decida se GitHub Actions os fluxos de trabalho devem ser impedidos de serem executados em solicitações de pull criadas agente de nuvem Copilot . Consulte Configurações de GitHub Copilot agente de nuvem.
Por padrão, os fluxos de trabalho são impedidos de serem executados até que alguém com acesso de gravação os aprove. Os administradores do repositório poderão desabilitar esse recurso, portanto, comunique-se com eles com antecedência sobre sua configuração preferida.
Examinar permissões padrão
Verifique as permissões padrão para o GITHUB_TOKEN na sua empresa. Consulte Impor políticas para GitHub Actions em sua empresa.
Essa política não afeta o token que Copilot receberá por suas sessões, GITHUB_TOKEN__ usada em etapas de configuração de ambiente definidas em copilot-setup-steps.yml arquivos de fluxo de trabalho.
Tenha em mente que os desenvolvedores poderão definir suas próprias configurações nesses arquivos de fluxo de trabalho permissions, e é aconselhável incentivá-los a usar as permissões mínimas requeridas em todos os fluxos de trabalho.
Próximas Etapas
Quando estiver pronto para habilitar agente de nuvem Copilot, consulte Gerenciando GitHub Copilot agente de nuvem em sua empresa.