Skip to main content

Настройка или отключение брандмауэра для GitHub Copilot

Узнайте, как управлять доменами и URL-адресами, к которым Copilot облачный агент можно Обзор кода Copilot получить доступ.

Примечание.

Настройка брандмауэра управляется на вкладке "Доступ к Интернету", которая охватывает оба Copilot облачный агент и Обзор кода Copilot. Предыдущие конфигурации, сохраненные в качестве переменных действий, будут храниться на этой странице.

Overview

По умолчанию Copilotдоступ к интернету ограничен межсетевым экраном.

Примечание.

Обзор кода Copilot также поддерживает конфигурацию брандмауэра на уровне организации и репозитория в собственном разделе вкладки "Доступ к Интернету", описанной ниже. Это позволяет настроить правила брандмауэра для Обзор кода Copilot независимо от Copilot облачный агент. См . раздел AUTOTITLE.

Ограничение доступа в интернет помогает управлять рисками утечки данных. Неожиданное поведение Copilotили вредоносные инструкции могут привести к утечке кода или другой конфиденциальной информации в удалённые места.

Межсетевой экран всегда позволяет получить доступ к нескольким хостам, которые Copilot используют для взаимодействия с GitHub. По умолчанию рекомендуемый список разрешений также включен, чтобы разрешить агенту загружать зависимости.

Если Copilot пытается сделать запрос, который заблокирован файрволом, в тело pull request (для новых pull request) или в комментарий (для существующих pull requests) добавляется предупреждение. Предупреждение показывает заблокированный адрес и команду, которая пыталась выполнить запрос.

Снимок экрана: предупреждение от Copilot о блокировке брандмауэром.

Limitations

Брандмауэр агента имеет важные ограничения, влияющие на покрытие безопасности.

  • Применяется только к процессам, запущенным агентом: брандмауэр применяется только к процессам, запущенным агентом с помощью средства Bash. Он не применяется к серверам протокола Model Context Protocol (MCP) или процессам, запущенным в установленных Copilot этапах настройки.
  • Применяется только внутри GitHub Actions устройства: Межсетевой экран работает только внутри GitHub Actions самой среды устройства. Он не применяется к процессам, выполняемым вне этой среды.
  • Bypass potential: Сложные атаки могут обойти межсетевой экран, что потенциально позволяет несанкционированному сетевому access и вывести данные.

Эти ограничения означают, что файрвол обеспечивает защиту от распространённых сценариев, но не должен рассматриваться как комплексное решение по безопасности.

Рекомендуемый список разрешений, включённый по умолчанию, позволяет access к:

  • Распространенные репозитории пакетов операционной системы (например, Debian, Ubuntu, Red Hat).
  • Распространённые реестры контейнеров (например, Docker Hub, Реестр контейнеров Azure, AWS Elastic Container Registry).
  • Реестры пакетов, используемые популярными языками программирования (C#, Dart, Go, Haskell, Java, JavaScript, Perl, PHP, Python, Ruby, Rust, Swift).
  • Общие центры сертификации (чтобы разрешить проверку SSL-сертификатов).
  • Узлы, используемые для скачивания веб-браузеров для сервера Playwright MCP.

Полный список хостов, включённых в рекомендованный список разрешений, см. Ссылка на список разрешений Copilot.

Настройка межсетевого экрана на уровне организации

Владельцы организации могут настроить все параметры брандмауэра на уровне организации для обоих Copilot облачный агент и Обзор кода Copilot. Чтобы получить доступ к настройкам межсетевого экрана:

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Выберите организацию, кликнув по ней.

  3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом. На боковой панели в разделе "Код, планирование и автоматизация" щелкните Copilot и выберите доступ к Интернету.

Страница "Доступ к Интернету" содержит отдельные разделы Copilot облачный агентОбзор кода Copilotи позволяет настроить следующие параметры независимо для каждого.

Включение или отключение файрвола

Предупреждение

Отключение межсетевого экрана позволит Copilot подключаться к любому хосту, увеличивая риски удаления кода или другой конфиденциальной информации.

  1. В разделе «Доступ к Интернету» установите параметр Включить файрвол на «Включено, отключено» или «Пусть репозитории решают (по умолчанию).
  1. В разделе «Доступ в Интернет» установите параметр Рекомендованного списка разрешений на Включено, Отключено или Пусть репозитории решают (по умолчанию).

Контроль над тем, могут ли репозитории добавлять пользовательские правила списка разрешений

По умолчанию администраторы репозиториев могут добавлять свои записи в список разрешений межсетевого экрана. Владельцы организаций могут отключить это, чтобы предотвратить добавление пользовательских правил в репозитории.

  1. В разделе «Доступ в Интернет» установите параметр пользовательских правил репозитория на Включено (по умолчанию) или Отключено.

Управление пользовательским списком разрешений организации

Элементы, добавленные в пользовательский список разрешений организации, применяются ко всем репозиториям организации. Эти элементы нельзя удалить на уровне репозитория. Правила на уровне организации и репозитория объединяются.

  1. В разделе «Доступ к Интернету» нажмите «Организация пользовательского списка разрешений».

  2. Добавьте адреса, которые необходимо включить в список разрешений. Можно включить:

    • Домены (например, packages.contoso.corp). Трафик будет разрешен к указанному домену и любым поддоменам.

пример: packages.contoso.corp позволит трафику packages.contoso.corp и prod.packages.contoso.corp, но не artifacts.contoso.corp.

  • URLs (например, https://packages.contoso.corp/project-1/). Трафик будет разрешен только в указанной схеме () и узле (https``packages.contoso.corp), а также ограничен указанным путем и потомками.

пример: https://packages.contoso.corp/project-1/ позволит трафику https://packages.contoso.corp/project-1/ и https://packages.contoso.corp/project-1/tags/latest, но не https://packages.contoso.corp/project-2, ftp://packages.contoso.corp или https://artifacts.contoso.corp.

  1. Нажмите кнопку Добавить правило.
  2. После проверки списка нажмите кнопку "Сохранить изменения".

Настройка межсетевого экрана на уровне репозитория

Администраторы репозиториев могут настраивать настройки межсетевого экрана на уровне репозитория, включая включение или отключение межсетевого экрана, включение или отключение рекомендованного списка разрешений, а также управление пользовательским списком разрешений. В зависимости от конфигурации на уровне организации, некоторые из этих настроек могут быть заблокированы. На странице параметров репозитория также есть отдельные разделы Copilot облачный агент , для которых Обзор кода Copilotможно настроить эти параметры независимо для каждого.

Чтобы получить доступ к настройкам межсетевого экрана:

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Код и автоматизация" боковой панели щелкните Copilot****доступ к Интернету.

Включение или отключение файрвола

Примечание.

Изменить эту настройку можно только на уровне репозитория, если организационная настройка Enable Firewall настроена на Let Repository decide. Если настройка на уровне организации включена или отключена, вы не можете изменить её для отдельных репозиториев.

  1. Включите или выключите настройки «Включить межсетевой экран ».

Примечание.

Изменить эту настройку можно только на уровне репозитория, если организационный режим Рекомендованного списка разрешений установлен как Let repository decidecide. Если настройка на уровне организации включена или отключена, вы не можете изменить её для отдельных репозиториев.

  1. Включите или выключите параметр Рекомендованного списка разрешений .

Управление пользовательским списком разрешений

Примечание.

Вы можете добавлять пользовательские правила списка разрешений на уровне репозитория только если настройка пользовательских правил репозитория на уровне организации установлена как Включена. Для получения дополнительной информации см . раздел Управление тем, могут ли репозитории добавлять пользовательские правила списка разрешений.

  1. Нажмите «Пользовательский список разрешений».

  2. Добавьте адреса, которые необходимо включить в список разрешений. Можно включить:

    • Домены (например, packages.contoso.corp). Трафик будет разрешен к указанному домену и любым поддоменам.

пример: packages.contoso.corp позволит трафику packages.contoso.corp и prod.packages.contoso.corp, но не artifacts.contoso.corp.

  • URLs (например, https://packages.contoso.corp/project-1/). Трафик будет разрешен только в указанной схеме () и узле (https``packages.contoso.corp), а также ограничен указанным путем и потомками.

пример: https://packages.contoso.corp/project-1/ позволит трафику https://packages.contoso.corp/project-1/ и https://packages.contoso.corp/project-1/tags/latest, но не https://packages.contoso.corp/project-2, ftp://packages.contoso.corp или https://artifacts.contoso.corp.

  1. Нажмите кнопку Добавить правило.
  2. После проверки списка нажмите кнопку "Сохранить изменения".

Дополнительные материалы