Copilot managed-settings.json ya es GA: las herramientas AI necesitan policy as code
El cambio convierte la configuración del asistente en política revisable. Marketplaces, plugins, modelo por defecto y bypass de aprobaciones deben tener dueño, revisión y rollback.
Qué cambió
GitHub Enterprise Cloud puede usar copilot/managed-settings.json en un repositorio .github-private para distribuir configuración a VS Code y Copilot CLI. Las claves soportadas tienen prioridad sobre ajustes locales.
Por qué importa
El cambio convierte la configuración del asistente en política revisable. Marketplaces, plugins, modelo por defecto y bypass de aprobaciones deben tener dueño, revisión y rollback.
Qué hacer ahora
Defina propietarios, use CODEOWNERS, limite marketplaces con strictKnownMarketplaces, desactive el bypass al inicio y valide la aplicación con un grupo piloto.
Riesgos
La política no reemplaza la revisión de plugins, permisos MCP, tokens, red o logs. Tampoco debe asumirse cobertura para todos los clientes de Copilot sin verificación.
Checklist de política
• Review copilot/managed-settings.json through pull requests.
• Limit plugin marketplaces before enabling broad agent workflows.
• Disable approval bypass until risky tools have explicit exceptions.
• Verify enforcement on supported client versions before rollout.
Fuentes
- GitHub Changelog: Enterprise managed-settings.json is generally available
- GitHub Docs: Configuring enterprise managed settings
- GitHub Changelog: strictKnownMarketplaces support
- GitHub Changelog: disableBypassPermissionsMode support
- VS Code Docs: Manage AI settings in enterprise environments
- GitHub Docs: About enterprise-managed plugin standards
- GitHub Community: Enterprise-managed settings discussion