Настройка или отключение брандмауэра для агента GitHub Copilot для программирования

Узнайте, как управлять доменами и URL-адресами, к которым могут получить доступ Агент кодирования Copilot.

В этой статье

Примечание.

Конфигурация брандмауэра перемещена на страницу параметров Агент кодирования Copilot. Предыдущие конфигурации, сохраненные в качестве переменных действий, будут храниться на этой странице.

Обзор

По умолчанию Copilotдоступ к Интернету ограничен брандмауэром.

Ограничение доступа к Интернету помогает управлять рисками кражи данных, где удивительное поведение от Copilot, или вредоносные инструкции, предоставленные ему, могут привести к утечке кода или другой конфиденциальной информации в удаленных местах.

Брандмауэр всегда разрешает доступ к ряду узлов, которые Copilot использует для взаимодействия с GitHub. По умолчанию рекомендуемый список разрешений также включен, чтобы разрешить агенту загружать зависимости.

Если Copilot пытается выполнить запрос, который заблокирован брандмауэром, предупреждение добавляется в текст запроса на вытягивание (если Copilot создает запрос на вытягивание в первый раз) или в комментарий (если Copilot отвечает на комментарий запроса на вытягивание. Предупреждение показывает заблокированный адрес и команду, которая пыталась выполнить запрос.

Снимок экрана: предупреждение от Copilot о блокировке брандмауэром.

Ограничения

Брандмауэр агента имеет важные ограничения, влияющие на покрытие безопасности.

  • Применяется только к процессам, запущенным агентом: брандмауэр применяется только к процессам, запущенным агентом с помощью средства Bash. Он не применяется к серверам или процессам, запущенным в настроенных шагах установки Copilot.
  • Применяется только в устройстве GitHub Actions: брандмауэр работает только в среде устройства GitHub Actions. Он не применяется к процессам, выполняемым вне этой среды.
  • Обход потенциальных: сложные атаки могут обойти брандмауэр, потенциально позволяя несанкционированному сетевому доступу и краже данных.

Эти ограничения означают, что брандмауэр предоставляет уровень защиты для распространенных сценариев, но не следует рассматривать комплексное решение для обеспечения безопасности.

Рекомендуемый список разрешений, включенный по умолчанию, разрешает доступ к:

  • Распространенные репозитории пакетов операционной системы (например, Debian, Ubuntu, Red Hat).
  • Общие реестры контейнеров (например, Docker Hub, Реестр контейнеров Azure, реестр эластичных контейнеров AWS).
  • Реестры пакетов, используемые популярными языками программирования (C#, Dart, Go, Haskell, JavaScript, JavaScript, Perl, PHP, Python, Ruby, Rust, Swift).
  • Общие центры сертификации (чтобы разрешить проверку SSL-сертификатов).
  • Узлы, используемые для скачивания веб-браузеров для сервера Playwright MCP.

Вы можете отключить рекомендуемый список разрешений.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Код и автоматизация" боковой панели щелкните Copilot и Агент программирования.

  4. Переключите параметр рекомендуемого списка разрешений.

Чтобы использовать рекомендуемый список разрешений в дополнение к собственному списку разрешений, сохраните **** параметр **** рекомендуемого списка разрешений и добавьте дополнительные адреса на страницу настраиваемого списка разрешений.

Разрешить список дополнительных узлов в брандмауэре агента

В брандмауэре агента можно разрешить список дополнительных адресов.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Код и автоматизация" боковой панели щелкните Copilot и Агент программирования.

  4. Щелкните настраиваемый список разрешений

  5. Добавьте адреса, которые необходимо включить в список разрешений. Можно включить:

    • Домены (например, packages.contoso.corp). Трафик будет разрешен к указанному домену и любым поддоменам.

      Пример: packages.contoso.corp разрешает трафик packages.contoso.corp и prod.packages.contoso.corp, но не artifacts.contoso.corp.

    • URL-адреса (например, https://packages.contoso.corp/project-1/). Трафик будет разрешен только в указанной схеме () и узле (https``packages.contoso.corp), а также ограничен указанным путем и потомками.

      Пример: https://packages.contoso.corp/project-1/ разрешает трафик и https://packages.contoso.corp/project-1/ https://packages.contoso.corp/project-1/tags/latest, ftp://packages.contoso.corp но не https://packages.consoto.corp/project-2, илиhttps://artifacts.contoso.corp.

  6. Щелкните Добавить правило.

  7. После проверки списка нажмите кнопку "Сохранить изменения".

Отключение брандмауэра

Предупреждение

Отключение брандмауэра позволит Copilot подключаться к любому узлу, повышая риски кражи кода или другой конфиденциальной информации.

Брандмауэр включен по умолчанию. Чтобы отключить брандмауэр, переключите параметр "Включить брандмауэр".****

Дополнительные материалы