Appearance
GitHub Copilot Cloud Agent 默认会在生成代码时自动运行安全和质量检查。本页说明如何在仓库设置中调整这些行为:关闭自动检查提高速度,以及配置 GitHub Actions 工作流是否需要手动审批才能在 Copilot 提的 PR 上运行。
GitHub Copilot Cloud Agent 设置配置:代码检查、Actions 权限与安全控制
访问 Cloud Agent 设置
- 进入仓库主页,点击 Settings
- 在左侧 "Code & automation" 分组中,点击 Copilot → Cloud agent
代码质量与安全检查
默认行为
Cloud Agent 默认启用代码质量和安全检查,防止:
- 硬编码的密钥(API key、密码)写入代码
- 不安全的依赖引入漏洞
- 其他常见的代码质量问题
这些检查在 Copilot 生成代码的过程中自动运行,不需要额外配置。
何时考虑关闭
以下情况可以考虑关闭自动检查:
- 速度优先:需要快速生成 PoC 或实验性代码
- 检查工具冲突:项目已有自定义的 lint/scan 流水线,和 Copilot 的检查有冲突
如何配置
在 Cloud agent 设置页面,通过切换按钮开启/关闭各个验证工具。
安全提示:关闭检查工具后,你需要手动承担代码审查责任。建议只在非生产分支的实验性工作中关闭。
GitHub Actions 工作流权限
默认行为
默认情况下,GitHub Actions 工作流不会在 Copilot 提的 PR 上自动运行。每次需要手动点击「Approve and run workflows」按钮才会触发 CI/CD。
这个默认设置保护你的仓库不被未审查的 AI 代码自动获得写入权限。
允许自动运行 Actions
在 Cloud agent 设置页面,找到 Actions workflow approval 部分,关闭「Require approval for workflow runs」。
⚠️ 重要安全提醒: 允许 Actions 自动运行意味着 未经人工审查的 AI 代码 可能获得 GitHub Actions 的
write权限(例如推送到 registry、部署到生产环境)。请在充分评估风险后再启用此选项,建议只在 CI 只读操作的仓库中开启。
建议的安全实践
对于大多数团队,推荐保持默认设置(需要手动批准):
- Copilot 提 PR
- 你快速浏览代码逻辑
- 点击「Approve and run workflows」触发 CI
- CI 通过后正常 Review 流程
这个流程额外增加的时间成本很小,但避免了 AI 生成的代码未经审查就自动部署的风险。
仓库 Opt-Out
仓库所有者可以选择让某个仓库退出 Cloud Agent,使 Copilot 无法在该仓库中创建任务。
在仓库设置 → Copilot → Cloud agent 页面可以配置。
常见问题
Q: 关闭代码安全检查后,Cloud Agent 生成的代码还安全吗?
A: 安全性降低了。Copilot 的安全检查能捕获常见的漏洞模式,关闭后这些检查不再运行。你需要依赖人工 Code Review 和项目自己的 CI/CD 工具来保障代码安全。
Q: 为什么 Actions 默认不自动运行?
A: GitHub 的设计考虑是:AI 生成的代码在未经人工审查前就自动获得 CI 权限存在安全风险。特别是如果 CI 流程有向外推送(deploy、publish 等)操作,未审查的 AI 代码有可能造成生产环境问题。
Q: 这些设置是仓库级的还是全局的?
A: 是仓库级的。每个仓库可以独立配置,不影响其他仓库。组织管理员可以在组织层面设置更高优先级的策略。