Copilot managed-settings.json ya es GA: las herramientas AI necesitan policy as code

Tech

El cambio convierte la configuración del asistente en política revisable. Marketplaces, plugins, modelo por defecto y bypass de aprobaciones deben tener dueño, revisión y rollback.

GitHub Copilot managed-settings.json이 .github-private 저장소에서 VS Code와 Copilot CLI로 배포되고, 모델 기본값, 플러그인 marketplace, tool approval, audit review로 이어지는 구조 다이어그램
managed-settings.json은 Copilot 클라이언트 설정을 개인 취향 파일에서 엔터프라이즈 정책 파일로 끌어올린다.

Qué cambió

GitHub Enterprise Cloud puede usar copilot/managed-settings.json en un repositorio .github-private para distribuir configuración a VS Code y Copilot CLI. Las claves soportadas tienen prioridad sobre ajustes locales.

Por qué importa

El cambio convierte la configuración del asistente en política revisable. Marketplaces, plugins, modelo por defecto y bypass de aprobaciones deben tener dueño, revisión y rollback.

Qué hacer ahora

Defina propietarios, use CODEOWNERS, limite marketplaces con strictKnownMarketplaces, desactive el bypass al inicio y valide la aplicación con un grupo piloto.

Riesgos

La política no reemplaza la revisión de plugins, permisos MCP, tokens, red o logs. Tampoco debe asumirse cobertura para todos los clientes de Copilot sin verificación.

Checklist de política

Review copilot/managed-settings.json through pull requests.

Limit plugin marketplaces before enabling broad agent workflows.

Disable approval bypass until risky tools have explicit exceptions.

Verify enforcement on supported client versions before rollout.

Fuentes