Limitations actuelles de l’application
L’application de la liste d'autorisation MCP présente actuellement les limitations suivantes :
- L'application des règles est basée uniquement sur la correspondance nom/ID du serveur, qui peut être contournée en modifiant les fichiers de configuration.
- Une mesure stricte qui empêche l’installation de serveurs non enregistrés n’est pas encore disponible
Pour le niveau de sécurité le plus élevé, vous pouvez désactiver les serveurs MCP dans Copilot jusqu'à ce que l'application stricte des règles soit disponible.
Application des règles pour les serveurs locaux
L'application de l'allowlist MCP s'applique à la fois aux serveurs MCP distants et locaux. Lorsque « Registre uniquement » est configuré, les serveurs locaux doivent être inclus dans votre Registre avec l’ID de serveur approprié, qui doit correspondre exactement à l’ID de serveur installé. L’ID canonique d’un serveur est souvent défini dans sa documentation ou son manifeste.
Résolution des stratégies pour les utilisateurs disposant de plusieurs sièges
L’application de la liste d’autorisation MCP est toujours liée à l’organisation ou à l’entreprise qui attribue le siège GitHub Copilot. Si un utilisateur dispose de plusieurs sièges, GitHub résout automatiquement les conflits et applique une stratégie et un registre actifs uniques.
La logique de résolution est la suivante :
-
**Étendue** : les stratégies définies par une entreprise parente remplacent celles définies par une organisation. Les stratégies d’entreprise s’appliquent à toutes les organisations et à tous les membres de cette entreprise. -
**Rigueur de l’application** : étant `Registry only` plus restrictive que `Allow all`, elle est toujours prioritaire. -
**Récurrence du chargement du registre** : si deux stratégies ont la même étendue et la même rigueur, le registre le plus récemment chargé est appliqué.