Personnalisation ou désactivation du pare-feu pour GitHub Agent de codage Copilot

Vue d’ensemble

Par défaut, l'accès à Internet de Copilot est limité par un pare-feu.

La limitation des accès à Internet permet de gérer les risques d’exfiltration des données, où un comportement surprenant de la part de Copilot, ou des instructions malveillantes qui lui sont données, peut entraîner une fuite de code ou d’autres informations sensibles vers des emplacements distants.

Le pare-feu autorise toujours l'accès à un certain nombre d'hôtes que Copilot utilise pour interagir avec GitHub. Par défaut, une liste d’autorisation recommandée est également activée pour permettre à l’assistant de télécharger les dépendances.

Si Copilot tente d’effectuer une requête bloquée par le pare-feu, un avertissement est ajouté au corps de la demande de tirage (si Copilot crée une demande de tirage pour la première fois) ou à un commentaire (si Copilot répond à un commentaire de demande de tirage). L’avertissement indique l’adresse bloquée et la commande qui a tenté d’effectuer la requête.

Limites

Le pare-feu agent présente d'importantes limitations qui affectent sa couverture de sécurité.

•         **S'applique uniquement aux processus lancés par l'agent **: Le pare-feu s'applique uniquement aux processus lancés par l'agent via son outil Bash. Cela ne s'applique pas aux serveurs MCP (Model Context Protocol) ni aux processus lancés dans les étapes de configuration Copilot.
  

•         **S'applique uniquement dans l'appareil GitHub Actions **: Le pare-feu fonctionne uniquement dans l'environnement de l'appareil GitHub Actions. Il ne s’applique pas aux processus s’exécutant en dehors de cet environnement.
  

•         **Potentiel de contournement** : les attaques sophistiquées peuvent contourner le pare-feu, ce qui peut permettre un accès réseau non autorisé et une exfiltration de données.
  

Ces limitations signifient que le pare-feu fournit une couche de protection pour les scénarios courants, mais ne doit pas être considéré comme une solution de sécurité complète.

Présentation de la liste d’autorisation de pare-feu recommandée

La liste d'autorisation recommandée, activée par défaut, autorise l'accès à :

• Des référentiels de packages de systèmes d’exploitation courants (par exemple : Debian, Ubuntu, Red Hat).
• Registres de conteneurs courants (par exemple, Docker Hub, Azure Container Registry, AWS Elastic Container Registry).
• Des registres de packages utilisés par les langages de programmation courants (C#, Dart, Go, Haskell, Java, JavaScript, Perl, PHP, Python, Ruby, Rust, Swift).
• Des autorités de certification courantes (pour permettre la validation des certificats SSL).
• Des hôtes utilisés pour télécharger des navigateurs web pour le serveur MCP Playwright.

Pour obtenir la liste complète des hôtes inclus dans la liste d’autorisation recommandée, consultez Informations de référence sur la liste d'autorisation Copilot.

Désactivation de la liste d'autorisation recommandée

Vous pouvez choisir de désactiver la liste d’autorisation recommandée. La désactivation de la liste d’autorisation recommandée est susceptible d’augmenter le risque d’accès non autorisé aux ressources externes.

1. Sur GitHub, accédez à la page principale du référentiel.

2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

   

3. Dans la section « Code et automatisation » de la barre latérale, cliquez sur Copilot, puis sur agent de codage.

4. Basculez le paramètre Liste d’autorisation recommandée sur Désactivé.

Pour utiliser la liste d'autorisation recommandée en plus de votre propre liste d'autorisation, conservez la liste d'autorisation recommandée définie sur Activé, puis ajoutez vos adresses supplémentaires sur la page Liste d'autorisation personnalisée.

Établissement d’une liste d’autorisation d’hôtes supplémentaires dans le pare-feu de l’agent

Vous pouvez ajouter des adresses supplémentaires à la liste d’autorisation dans le pare-feu de l’assistant.

1. Sur GitHub, accédez à la page principale du référentiel.

2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

   

3. Dans la section « Code et automatisation » de la barre latérale, cliquez sur Copilot, puis sur agent de codage.

4. Cliquez sur Liste d'autorisation personnalisée

5. Ajoutez les adresses que vous souhaitez inclure dans la liste d’autorisation. Vous pouvez inclure :

   •      **Domaines** (par exemple, `packages.contoso.corp`). Le trafic est autorisé vers le domaine spécifié et tous les sous-domaines.
     
     
          **Example** : `packages.contoso.corp` autorise le trafic vers `packages.contoso.corp` et `prod.packages.contoso.corp`, mais pas `artifacts.contoso.corp`.
     

   •      **URLs** (par exemple, `https://packages.contoso.corp/project-1/`). Le trafic ne sera autorisé que sur le schéma spécifié (`https`) et l'hôte (`packages.contoso.corp`), et sera limité au chemin spécifié et aux chemins descendants.
     
     
          **Example** : `https://packages.contoso.corp/project-1/` autorise le trafic vers `https://packages.contoso.corp/project-1/` et `https://packages.contoso.corp/project-1/tags/latest`, mais pas `https://packages.consoto.corp/project-2`, `ftp://packages.contoso.corp` ou `https://artifacts.contoso.corp`.
     

6. Cliquez sur Ajouter une règle.

7. Après avoir validé votre liste, cliquez sur Enregistrer les modifications.

Désactiver le pare-feu

Le pare-feu est activé par défaut. Pour désactiver le pare-feu, définissez le paramètre Activer le pare-feu sur Désactivé.

Pour approfondir

•         [AUTOTITLE](/actions/writing-workflows/choosing-what-your-workflow-does/store-information-in-variables#creating-configuration-variables-for-a-repository)
  

•         [AUTOTITLE](/copilot/customizing-copilot/customizing-the-development-environment-for-copilot-coding-agent)