Настройка или отключение межсетевого экрана для облачного агента GitHub Copilot

Обзор

По умолчанию Copilotдоступ к интернету ограничен межсетевым экраном.

Ограничение доступа в интернет помогает управлять рисками утечки данных. Неожиданное поведение Copilotили вредоносные инструкции могут привести к утечке кода или другой конфиденциальной информации в удалённые места.

Межсетевой экран всегда позволяет получить доступ к нескольким хостам, которые Copilot используют для взаимодействия с GitHub. По умолчанию рекомендуемый список разрешений также включен, чтобы разрешить агенту загружать зависимости.

Если Copilot пытается сделать запрос, который заблокирован файрволом, в тело pull request (для новых pull request) или в комментарий (для существующих pull requests) добавляется предупреждение. Предупреждение показывает заблокированный адрес и команду, которая пыталась выполнить запрос.

Ограничения

Брандмауэр агента имеет важные ограничения, влияющие на покрытие безопасности.

• Применяется только к процессам, запущенным агентом: брандмауэр применяется только к процессам, запущенным агентом с помощью средства Bash. Он не применяется к серверам протокола Model Context Protocol (MCP) или процессам, запущенным в установленных Copilot этапах настройки.
• Применяется только внутри GitHub Actions устройства: Межсетевой экран работает только внутри GitHub Actions самой среды устройства. Он не применяется к процессам, выполняемым вне этой среды.
• Bypass potential: Сложные атаки могут обойти межсетевой экран, что потенциально позволяет несанкционированному сетевому access и вывести данные.

Эти ограничения означают, что файрвол обеспечивает защиту от распространённых сценариев, но не должен рассматриваться как комплексное решение по безопасности.

Понимание рекомендованного списка допустимых межсетевых экранов

Рекомендуемый список разрешений, включённый по умолчанию, позволяет access к:

• Распространенные репозитории пакетов операционной системы (например, Debian, Ubuntu, Red Hat).
• Распространённые реестры контейнеров (например, Docker Hub, Azure Container Registry, AWS Elastic Container Registry).
• Реестры пакетов, используемые популярными языками программирования (C#, Dart, Go, Haskell, Java, JavaScript, Perl, PHP, Python, Ruby, Rust, Swift).
• Общие центры сертификации (чтобы разрешить проверку SSL-сертификатов).
• Узлы, используемые для скачивания веб-браузеров для сервера Playwright MCP.

Полный список хостов, включённых в рекомендованный список разрешений, см. Ссылка на список разрешений Copilot.

Настройка межсетевого экрана на уровне организации

Владельцы организаций могут настроить все настройки межсетевого экрана на уровне организации. Чтобы получить доступ к настройкам межсетевого экрана:

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. В боковой панели, в разделе «Код, планирование и автоматизация», нажмите Copilot, а затем нажмите Облачный агент.

Включение или отключение файрвола

1. В разделе «Доступ к Интернету» установите параметр Включить файрвол на «Включено, отключено» или «Пусть репозитории решают (по умолчанию).

Включение или отключение рекомендованного списка разрешений

1. В разделе «Доступ в Интернет» установите параметр Рекомендованного списка разрешений на Включено, Отключено или Пусть репозитории решают (по умолчанию).

Контроль над тем, могут ли репозитории добавлять пользовательские правила списка разрешений

По умолчанию администраторы репозиториев могут добавлять свои записи в список разрешений межсетевого экрана. Владельцы организаций могут отключить это, чтобы предотвратить добавление пользовательских правил в репозитории.

1. В разделе «Доступ в Интернет» установите параметр пользовательских правил репозитория на Включено (по умолчанию) или Отключено.

Управление пользовательским списком разрешений организации

Элементы, добавленные в пользовательский список разрешений организации, применяются ко всем репозиториям организации. Эти элементы нельзя удалить на уровне репозитория. Правила на уровне организации и репозитория объединяются.

1. В разделе «Доступ к Интернету» нажмите «Организация пользовательского списка разрешений».

2. Добавьте адреса, которые необходимо включить в список разрешений. Можно включить:

   • Домены (например, packages.contoso.corp). Трафик будет разрешен к указанному домену и любым поддоменам.

          **пример**: `packages.contoso.corp` позволит трафику `packages.contoso.corp` и `prod.packages.contoso.corp`, но не `artifacts.contoso.corp`.
     

   • URLs (например, https://packages.contoso.corp/project-1/). Трафик будет разрешен только в указанной схеме () и узле (https``packages.contoso.corp), а также ограничен указанным путем и потомками.

          **пример**: `https://packages.contoso.corp/project-1/` позволит трафику `https://packages.contoso.corp/project-1/` и `https://packages.contoso.corp/project-1/tags/latest`, но не `https://packages.contoso.corp/project-2`, `ftp://packages.contoso.corp` или `https://artifacts.contoso.corp`.
     

3. Нажмите кнопку Добавить правило.

4. После проверки списка нажмите кнопку "Сохранить изменения".

Настройка межсетевого экрана на уровне репозитория

Администраторы репозиториев могут настраивать настройки межсетевого экрана на уровне репозитория, включая включение или отключение межсетевого экрана, включение или отключение рекомендованного списка разрешений, а также управление пользовательским списком разрешений. В зависимости от конфигурации на уровне организации, некоторые из этих настроек могут быть заблокированы.

Чтобы получить доступ к настройкам межсетевого экрана:

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. В разделе «Код и автоматизация» боковой панели нажмите Copilot тогда Облачный агент.

Включение или отключение файрвола

1. Включите или выключите настройки «Включить межсетевой экран ».

Включение или отключение рекомендованного списка разрешений

1. Включите или выключите параметр Рекомендованного списка разрешений .

Управление пользовательским списком разрешений

1.        **Нажмите «Пользовательский список разрешений**».
   

2. Добавьте адреса, которые необходимо включить в список разрешений. Можно включить:

   • Домены (например, packages.contoso.corp). Трафик будет разрешен к указанному домену и любым поддоменам.

          **пример**: `packages.contoso.corp` позволит трафику `packages.contoso.corp` и `prod.packages.contoso.corp`, но не `artifacts.contoso.corp`.
     

   • URLs (например, https://packages.contoso.corp/project-1/). Трафик будет разрешен только в указанной схеме () и узле (https``packages.contoso.corp), а также ограничен указанным путем и потомками.

          **пример**: `https://packages.contoso.corp/project-1/` позволит трафику `https://packages.contoso.corp/project-1/` и `https://packages.contoso.corp/project-1/tags/latest`, но не `https://packages.contoso.corp/project-2`, `ftp://packages.contoso.corp` или `https://artifacts.contoso.corp`.
     

3. Нажмите кнопку Добавить правило.

4. После проверки списка нажмите кнопку "Сохранить изменения".

Дополнительные материалы

• Хранение сведений в переменных
• Настройка среды разработки