Copilot managed-settings.json est GA: les outils AI exigent une policy as code

Tech

La configuration Copilot devient une surface de gouvernance versionnée. Plugins, marketplaces, modèles par défaut et permissions ne devraient plus dépendre de réglages individuels.

GitHub Copilot managed-settings.json이 .github-private 저장소에서 VS Code와 Copilot CLI로 배포되고, 모델 기본값, 플러그인 marketplace, tool approval, audit review로 이어지는 구조 다이어그램
managed-settings.json은 Copilot 클라이언트 설정을 개인 취향 파일에서 엔터프라이즈 정책 파일로 끌어올린다.

Ce qui change

GitHub Enterprise Cloud permet de placer copilot/managed-settings.json dans un dépôt .github-private pour piloter VS Code et Copilot CLI. Les clés supportées priment sur la configuration locale.

Pourquoi c’est important

La configuration Copilot devient une surface de gouvernance versionnée. Plugins, marketplaces, modèles par défaut et permissions ne devraient plus dépendre de réglages individuels.

Actions concrètes

Créez un ownership clair, imposez une revue PR, limitez les marketplaces, bloquez le bypass d’approbation au départ et testez l’application réelle côté client.

Limites

Le fichier ne sécurise pas automatiquement les plugins, serveurs MCP, jetons, sorties réseau ou traces. La couverture doit être vérifiée client par client.

Checklist de gouvernance

Review copilot/managed-settings.json through pull requests.

Limit plugin marketplaces before enabling broad agent workflows.

Disable approval bypass until risky tools have explicit exceptions.

Verify enforcement on supported client versions before rollout.

Sources