Безопасность, риски и ограничения облачного агента Copilot

  • 5 мин

Агент GitHub Copilot Cloud разработан с нуля с учетом безопасности и управления. Хотя он открывает новые способы делегирования работы автономному агенту, он работает в рамках существующих ограничений вашей организации и добавляет свои собственные средства защиты. В этом модуле объясняется, как агент применяет ваши политики безопасности, выделяет риски и меры по их устранению, которые вы должны учитывать, и формирует представление о текущих ограничениях.

К концу этого урока вы сможете:

  • Описание модели безопасности и встроенных средств защиты облачного агента Copilot.
  • Определите основные риски, связанные с использованием агента, и меры по их устранению, которые применяет GitHub.
  • Учитывайте известные ограничения рабочего процесса агента и совместимость, чтобы планировать использование соответствующим образом.

Модель безопасности и встроенные средства защиты

Безопасность является основой для агента Copilot Cloud. Он уважает существующие элементы управления и применяет собственные меры безопасности для обеспечения безопасности рабочих процессов:

  • Подлежат регулированию — настройки организации и предприятия регулируют доступность; все ваши политики безопасности продолжают применяться к агенту.
  • Ограниченная среда . Агент выполняется в песочнице на GitHub Actions с брандмауэром доступа к Интернету и доступом только для чтения к репозиторию.
  • Ограничения веток — допускается создание и отправка только в ветки, начинающиеся с copilot/, при этом все защиты веток и необходимые проверки по-прежнему применяются.
  • С учетом разрешений — агент отвечает только пользователям с разрешением на запись. Комментарии других пользователей игнорируются.
  • Правила вне совместной работы — черновик PR от агента требует утверждения пользователем с разрешением на запись перед выполнением действий. Пользователь, запросивший PR, не может его утвердить.
  • Соответствие требованиям и атрибуция — все коммиты совместно выполняются с разработчиком, который назначил задачу или запросил PR, поэтому атрибуция очевидна. Существующие правила «требуемых одобрений» остаются неизменными.

Риски и устранение рисков

Несмотря на то, что агент Copilot Cloud создан с учетом безопасности, существуют риски, которые необходимо запланировать. GitHub применяет меры по устранению рисков, чтобы уменьшить их.

  • Риск: агент отправляет код

    Устранение рисков: Только пользователи с доступом на запись могут активировать работу агента. Push-уведомления ограничены copilot/ ветвями (а не main/master). Учетные данные агента позволяют только простой push (без прямого git push). Рабочие процессы GitHub Actions не будут выполняться, пока пользователь разрешения на запись не нажимает кнопку "Утвердить и запустить рабочие процессы". Запрашивающий не может утвердить PR агента, сохраняя необходимые утверждения.

  • Риск: доступ к конфиденциальной информации

    Смягчение: Доступ агента к Интернету по умолчанию ограничен межсетевым экраном; вы можете настроить или отключить межсетевой экран в соответствии с политикой.

  • Риск: инъекция команды

    Меры по смягчению: Скрытые символы (например, замечания HTML) фильтруются перед передачей пользовательского ввода агенту. Это снижает вероятность скрытых вредных инструкций в комментариях или проблемах.

Эти элементы управления дают безопасный базовый план для использования агента, но вы по-прежнему должны тщательно просматривать выходные данные так же, как и код, написанный любым членом команды.

Известные ограничения

Ограничения рабочих процессов

  • Можно вносить изменения только в том же репозитории, что и назначенная задача или запрос на внесение изменений.
  • Область контекста ограничена назначенным репозиторием по умолчанию (можно расширить с помощью MCP).
  • Открывает ровно один pull request для каждой задачи.
  • Не удается изменить существующий PR, который вы не создавали (если вам нужна обратная связь, вместо этого добавьте его как рецензента, используя проверку кода GitHub Copilot).

Ограничения совместимости

  • Не подписывает коммиты. Если требуется подписанные фиксации, перед слиянием необходимо перезаписать журнал фиксаций.
  • Требуются исполнители Ubuntu x64, размещенные на GitHub. Раннеры с собственным хостингом не поддерживаются.
  • Недоступно для личных репозиториев, принадлежащих управляемым учетным записям пользователей (раннеры недоступны).
  • Не учитывает исключения содержимого; Агент может просматривать и обновлять исключенные файлы.
  • Политика "Предложения, соответствующие общедоступному коду" не обеспечивается агентом, ссылки могут не предоставляться.
  • Работает только с репозиториями, размещенными на сайте GitHub.
  • Невозможно изменить модель ИИ, используемую агентом; он выбран GitHub.

С четкими рамками и ограничениями вы можете начать делегировать работу, отслеживать ход выполнения и повторять обработку результатов с помощью стандартного процесса Pull Request.