Bevor Sie Copilot-Cloud-Agent aktivieren, empfiehlt es sich, Ihr Unternehmen so einzurichten, dass Sie sicher sein können, dass Copilot innerhalb sicherer, vorhersehbarer Schutzmaßnahmen arbeitet.
Erfahren Sie mehr über integrierte Schutzmaßnahmen
Copilot-Cloud-Agent verfügt über eine starke Basis von integrierten Sicherheitsschutzmechanismen, die zum Schutz vor gängigen Risikopunkten von KI-Agents entwickelt wurden. Siehe [AUTOTITLE](/copilot/concepts/agents/coding-agent/risks-and-mitigations).
Planung von Richtlinieneinstellungen
Planen Sie Ihre Richtlinien für Copilot-Cloud-Agent im Voraus. Mithilfe von Richtlinien können Sie einen Basisplan für Einschränkungen auf Unternehmensebene festlegen, die Organisationsbesitzer bei Bedarf weiter einschränken können.
Einige Fragen, die Sie stellen müssen, sind:
- In welchen Organisationen und Repositorys wird Copilot-Cloud-Agent aktiviert sein? Siehe Verwalten des Zugriffs auf GitHub Copilot Cloud-Agent.
- Welche MCP‑Server werden Sie konfigurieren, um Copilot-Cloud-Agent Zugriff auf externe Tools zu ermöglichen? Siehe Verbinden von Agents mit externen Tools.
Welche Richtlinien gelten nicht?
Die folgenden Copilot Richtlinien gelten nicht für Copilot-Cloud-Agent:
- Inhaltsausschlüsse
- Benutzerdefinierte Modelle (Bereitstellen eigener LLM-API-Schlüssel)
- Private MCP-Registrierungen
Anpassen von Regelsätzen
Copilot-Cloud-Agent ist bereits für Aktionen wie das Pushen in einen Standardbranch oder das Zusammenführen von Pull Requests eingeschränkt. Sie können diese standardmäßigen Schutzmechanismen in Verzweigungsregeln weiter ausbauen.
Copilot-Cloud-Agent unterliegt Regelwerken, genau wie menschliche Entwickler.
So passen Sie Ihre Regelsätze für Copilot-Cloud-Agent an:
- Überlegen Sie, ob zusätzliche Regeln in Repositorys erforderlich sind, in denen Agents funktionieren, z. B. das Anfordern von Ergebnissen aus code scanning oder Code Quality. Wenn Sie die Organisationen oder Repositorys identifiziert haben, in denen Copilot-Cloud-Agent aktiviert werden, können Sie eine benutzerdefinierte Eigenschaft auf sie anwenden, damit diese in einem Regelsatz leicht als Ziel verwendet werden können.
- Überlegen Sie, ob Copilot-Cloud-Agent von einer Ihrer vorhandenen Regelsets blockiert wird. Copilot kann seine Commits signieren, aber möglicherweise nicht in der Lage sein, andere Regeln zu befolgen, die Commit-Metadaten einschränken.
- Schützen Sie wichtige Copilot und MCP-Konfigurationsdateien mit einer
CODEOWNERSDatei, und aktivieren Sie die Regel "Überprüfung von Codebesitzern erforderlich", damit Bearbeitungen an diesen Dateien von bestimmten Teams genehmigt werden müssen. Informationen zu Dateipfaden zum Ziel finden Sie unter Spickzettel für die Copilot-Anpassung.
Richten Sie Ihre GitHub Actions Umgebung ein
Copilot-Cloud-Agent wird auf GitHub Actions-Runnern ausgeführt. Richten Sie Ihre Runner und Richtlinien so ein, dass Copilot sicher ausgeführt wird.
Speichern von Daten und geheimen Schlüsseln
Speichern Sie weiterhin Daten und Token, auf die Sie nicht als GitHub Actions zugreifen möchten****. Copilot kann in den Sitzungen oder bei Schritten zur Einrichtung der Umgebung nicht darauf zugreifen.
Wenn Sie Daten und geheime Schlüssel bereitstellen müssen, die Copilot-Cloud-Agent_erforderlich_ sind, können Sie dies in einer bestimmten copilot Umgebung tun.
Konfigurieren von Runnern
Entscheiden Sie, welche Läufer Sie für Copilot-Cloud-Agent verwenden werden. Wir empfehlen die Verwendung von auf GitHub gehosteten Runnern, damit jeder Copilot-Cloud-Agent auf einem neuen virtuellen Computer ausgeführt wird. Wenn Sie selbst gehostete Läufer verwenden, empfehlen wir die Verwendung von kurzlebigen Läufern.
Organisationsbesitzer können die Runner von Copilot-Cloud-Agent auf eine bestimmte Runnerbezeichnung beschränken, die dann automatisch in allen Repositorys verwendet wird. Siehe Konfigurieren von Runnern für den GitHub Copilot Cloud-Agent in Ihrer Organisation.
Konfigurieren von Workflowrichtlinien
Entscheiden Sie, ob GitHub Actions Workflows von der Ausführung blockiert werden sollen in Pullanforderungen, die Copilot-Cloud-Agent erstellt. Siehe Konfigurieren von Einstellungen für GitHub Copilot Cloud-Agent.
Standardmäßig werden Workflows daran gehindert, ausgeführt zu werden, bis eine Person mit Schreibzugriff sie genehmigt. Repositoryadministratoren können diese Funktion deaktivieren, deshalb sollten Sie im Voraus mit ihnen über Ihre bevorzugte Einstellung kommunizieren.
Überprüfen von Standardberechtigungen
Überprüfen Sie die Standardberechtigungen für das GITHUB_TOKEN in Ihrem Unternehmen. Siehe Erzwingen von Richtlinien für GitHub Actions in Ihrem Unternehmen.
Diese Richtlinie wirkt sich nicht auf das Token aus, das Copilot für seine Sitzungen empfängt, aber das GITHUB_TOKENwird in den Schritten zur Einrichtung der Umgebung verwendet, die in den Workflowdateien copilot-setup-steps.yml definiert sind.
Denken Sie daran, dass Entwickler ihre eigenen permissions in diesen Workflowdateien festlegen können, und Sie sollten sie ermutigen, die mindest erforderlichen Berechtigungen in allen Workflows zu verwenden.
Nächste Schritte
Wenn Sie bereit sind, Copilot-Cloud-Agent zu aktivieren, lesen Sie Aktivieren von GitHub Copilot Cloud-Agent in Ihrem Unternehmen.