Avant d'activer Agent cloud Copilot, il est recommandé de configurer votre entreprise afin d'assurer que Copilot fonctionne dans un cadre sécurisé et prévisible.
En savoir plus sur les protections intégrées
Agent cloud Copilot dispose d’une base forte de protections de sécurité intégrées conçues pour se protéger contre les points de risque courants des agents IA. Consultez « [AUTOTITLE](/copilot/concepts/agents/coding-agent/risks-and-mitigations) ».
Paramètres de politique de planification
Planifiez vos politiques pour Agent cloud Copilot à l'avance. Les stratégies vous permettent de définir une base de référence pour les restrictions au niveau de l’entreprise, que les propriétaires de l’organisation peuvent restreindre davantage si nécessaire.
Voici quelques questions à poser :
- Dans quelles organisations et référentiels seront Agent cloud Copilot activés ? Consultez « Gestion de l’accès à GitHub Copilot agent cloud ».
- Quels serveurs MCP configurez-vous pour accorder Agent cloud Copilot l’accès aux outils externes ? Consultez « Extension GitHub Copilot agent cloud avec le protocole MCP (Model Context Protocol) ».
Quelles stratégies ne s’appliquent pas ?
Les stratégies suivantes Copilot ne s’appliquent pas à Agent cloud Copilot:
- Exclusions de contenu
- Modèles personnalisés (fournissant vos propres clés API LLM)
- Registres MCP privés
Adapter des ensembles de règles
Agent cloud Copilot est déjà restreint pour des actions telles que le push vers une branche par défaut ou la fusion de pull requests. Vous pouvez vous appuyer sur ces protections par défaut dans les ensembles de règles de branche.
Agent cloud Copilot est soumis à des ensembles de règles comme les développeurs humains.
Pour adapter vos ensembles de règles pour Agent cloud Copilot:
-
**Déterminez si des règles supplémentaires sont requises** dans les référentiels où les agents fonctionnent, comme exiger des résultats à partir de code scanning ou Code Quality. Si vous avez identifié les organisations ou référentiels où Agent cloud Copilot seront activés, vous pouvez appliquer une propriété personnalisée pour qu’elles soient faciles à cibler dans un ensemble de règles. -
**Déterminez si Agent cloud Copilot sera bloqué par l’un de vos ensembles de règles existants.** Copilot _peut_ signer ses validations, mais elle peut ne pas être en mesure de suivre d’autres règles qui limitent les métadonnées de validation. -
**Protégez les fichiers de configuration importants Copilot et MCP** avec un `CODEOWNERS` fichier et activez la règle « Exiger une révision des propriétaires de code », de sorte que les modifications de ces fichiers doivent être approuvées par des équipes spécifiques. Pour les chemins de fichier à cibler, consultez [AUTOTITLE](/copilot/reference/customization-cheat-sheet).
Configurer votre GitHub Actions environnement
Agent cloud Copilot s’exécute sur des runners GitHub Actions. Configurez vos runners et vos stratégies afin de garantir un fonctionnement sécurisé de Copilot.
Stocker des données et des secrets
Continuez à stocker des données et des jetons que vous ne souhaitez Copilot pas accéder en tant que GitHub Actions variables ou secrets. Copilot ne pourra pas y accéder dans ses sessions ou étapes de configuration de l’environnement.
Si vous devez fournir des données et des secrets dont Agent cloud Copilot vous avez besoin, vous pourrez le faire dans un environnement spécifiquecopilot.
Configurer des exécuteurs
Déterminez les coureurs que vous utiliserez pour Agent cloud Copilot. Nous vous recommandons d’utiliser GitHubdes exécuteurs hébergés, afin que chaque Agent cloud Copilot exécution s’exécute sur une nouvelle machine virtuelle. Si vous utilisez des runners auto-hébergés, il est recommandé d’opter pour des runners éphémères.
Les propriétaires d’organisation peuvent limiter les runners de Agent cloud Copilot à une étiquette spécifique, appliquée automatiquement à l’ensemble des référentiels. Consultez « Configuration des exécuteurs pour l’agent cloud GitHub Copilot dans votre organisation ».
Configurer des stratégies de flux de travail
Déterminez si l’exécution des workflows GitHub Actions doit être bloquée dans les demandes de tirage générées par Agent cloud Copilot. Consultez « Configuration des paramètres pour GitHub Copilot agent cloud ».
Par défaut, les flux de travail ne sont pas exécutés jusqu’à ce que quelqu’un disposant d’un accès en écriture les approuve. Les administrateurs de référentiel pourront désactiver cette fonctionnalité. Par conséquent, communiquez avec eux à l’avance sur votre paramètre préféré.
Passer en revue les autorisations par défaut
Passez en revue les autorisations par défaut pour GITHUB_TOKEN dans votre entreprise. Consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».
Cette stratégie n’affecte pas le jeton qui Copilot recevra pour ses sessions, mais il GITHUB_TOKENest utilisé dans les étapes de configuration de l’environnement définies dans les copilot-setup-steps.yml fichiers de flux de travail.
N’oubliez pas que les développeurs pourront définir leurs propres permissions fichiers de flux de travail et vous devez les encourager à utiliser les autorisations minimales requises dans tous les flux de travail.
Étapes suivantes
Lorsque vous êtes prêt à l’activer Agent cloud Copilot, consultez Enabling GitHub Copilot cloud agent in your enterprise.