GitHub Copilot CLI、GitHub Actions で個人用アクセストークンが不要に
GitHub は Copilot CLI の GitHub Actions 実行における個人用アクセストークンの不要化を発表し、組織課金とセキュリティリスク低減を実現した。
キーポイント
認証方式の簡素化とセキュリティ向上
従来の個人用アクセストークン(PAT)の管理が不要となり、組み込みの GITHUB_TOKEN で認証可能になったことで、長期トークンの運用リスクとセキュリティ脆弱性が解消された。
組織レベルでの直接課金へ移行
Copilot CLI の利用クレジット消費が個人アカウントではなく、組織アカウントに直接請求されるようになり、コスト管理の一元化が可能になった。
コスト制御機能の強化
ユーザーレベルの予算制約は適用されなくなるため、コストセンターの設定やセッション制限(AI クレジット上限)などの新たな管理手段が推奨されている。
影響分析・編集コメントを表示
影響分析
この変更は、AI ツールを CI/CD パイプラインに組み込む際の運用負荷とセキュリティリスクを劇的に軽減し、組織規模での Copilot CLI の導入障壁を下げる画期的な進展です。特に、トークン管理の煩雑さから解放されることで、開発者の生産性向上とインフラストラクチャの堅牢性が同時に達成されます。
編集コメント
トークン管理の煩雑さから解放されることで、AI ツールの自動化導入がより現実的なものとなりました。ただし、コスト管理の責任が個人から組織へシフトするため、適切なガバナンスポリシーの見直しが不可欠です。
GitHub Copilot CLI を GitHub Actions で実行する際、組み込みの GITHUB_TOKEN を使用できるようになりました。
これは、自動化スケーリングにおける長期間有効なパーソナルアクセストークン (PAT) の管理に伴う運用上のリスクやセキュリティリスクを排除するため、PAT の作成と保存が不要になったことを意味します。
組織所有のリポジトリで Actions トークンを使用して Copilot CLI を実行すると、CLI によって消費される AI クレジットは直接組織に請求されます。
GitHub Actions における Copilot CLI の組織課金設定
この機能を使用するには、「Copilot CLI の使用を組織課金とする」Copilot ポリシーを有効にする必要があります。既存の「Copilot CLI」ポリシーが有効になっている場合、これはデフォルトで有効になっています。
一度有効化すると、ワークフローは copilot-requests: write 権限を持つだけでよく、ワークフローの組み込み GITHUB_TOKEN を使用して認証できます。追加のシークレットは必要ありません。
詳細については、GitHub Docs の「GITHUB_TOKEN を使用した GitHub Actions での Copilot CLI の利用」をご覧ください。
注記:最新のバージョンの Copilot CLI を使用している必要があります。copilot update で更新するか、npm install -g @github/copilot で最新バージョンを再インストールしてください。
組織への課金におけるコスト管理
直接組織に請求する場合、ユーザーレベルの予算は考慮されません。これはコストが特定のユーザーに帰属しないためです。この課金方法を使用する際の支出管理には複数の方法があります:
関連する組織に対してコストセンターを設定してください。コストセンターを使用すると、組織グループへのコストの帰属が可能になり、予算をコストセンターに適用できます。
組織の請求および使用状況ダッシュボードから Copilot の利用状況を監視し、時間経過に伴う消費量を追跡してください。
セッション制限を設定して、ワークフローで使用される AI クレジットの最大量を構成してください。
この投稿「Copilot CLI no longer needs a personal access token in GitHub Actions」は、最初に The GitHub Blog に掲載されました。
原文を表示
You can now run GitHub Copilot CLI in GitHub Actions using the built-in GITHUB_TOKEN.
This means that you no longer need to create and store a personal access token (PAT), eliminating the operational and security risks of managing long-lived PATs for automations at scale.
When you run Copilot CLI with the Actions token in an organization-owned repository, AI credits consumed by the CLI are billed directly to the organization.
Configuring organization billing for Copilot CLI in GitHub Actions
In order to use this feature, you must enable the “Allow use of Copilot CLI billed to the organization” Copilot policy. This is enabled by default if you have the existing “Copilot CLI” policy enabled.
Once enabled, workflows just need the copilot-requests: write permission and can authenticate with the workflow’s built-in GITHUB_TOKEN. No additional secrets are required.
To learn more, see “Using Copilot CLI in GitHub Actions with GITHUB_TOKEN” in the GitHub Docs.
Note: You must be on a recent version of Copilot CLI. Update with copilot update, or reinstall the latest version with npm install -g @github/copilot.
Controlling cost while billing to your organization
User-level budgets are not considered when billing directly to the organization because the cost is not attributed to a user. There are multiple ways to manage spend when using this billing method:
Configure cost centers for the relevant organizations. Cost centers allow cost attribution to groups of organizations, and budgets can be applied to cost centers.
Monitor Copilot usage from your organization’s billing and usage dashboards to track consumption over time.
Set a session limit to configure a maximum amount of AI credits that will be used by a workflow.
The post Copilot CLI no longer needs a personal access token in GitHub Actions appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み