GitHub Copilot in CI/CD: Kein persönlicher Token mehr und Kostenkontrolle pro Team
GitHub hat am selben Tag zwei Enterprise-Updates für Copilot veröffentlicht: Der CLI in GitHub Actions benötigt keinen persönlichen Zugriffstoken mehr, und Cost Center unterstützen jetzt KI-Credit-Pools mit automatischen Limits, die Teams voreinander schützen.
Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.
GitHub hat am 2. Juli 2026 zwei separate Enterprise-Updates für Copilot veröffentlicht, die dieselbe strategische Richtung verfolgen: weniger manuelle Verwaltung, mehr automatischer Schutz. Eines betrifft die Authentifizierung in CI/CD-Pipelines, das andere das finanzielle Management von KI-Credits pro Team.
Ende persönlicher Tokens in automatisierten Workflows
Bisher erforderte die Integration des Copilot CLI in GitHub Actions, dass jedes Team oder jeder Entwickler einen persönlichen Zugriffstoken (PAT) in den Secrets des Repositorys oder der Organisation speicherte. Der PAT wurde dann zur Authentifizierung von Copilot innerhalb des Workflows verwendet. Der Ansatz funktionierte, brachte aber bekannte Probleme mit sich: PATs haben lange Lebenszyklen, sind an konkrete Benutzerkonten gebunden und stellen ein Sicherheitsrisiko dar, wenn sie kompromittiert werden oder die Rotation vergessen wird.
Ab dem 2. Juli funktioniert Copilot CLI mit dem nativen GITHUB_TOKEN – einem kurzlebigen Token, den GitHub Actions automatisch für jeden einzelnen Workflow-Run generiert. Kein manuelles Erstellen, Speichern oder Rotieren mehr.
Um den neuen Mechanismus zu nutzen, benötigt der Workflow die explizite Berechtigung copilot-requests: write. Die Abrechnung wechselt vom einzelnen Benutzer zur Organisation, was eine aktivierte Richtlinie „Allow use of Copilot CLI billed to the organization” erfordert (standardmäßig aktiviert, wenn bereits eine Copilot-CLI-Richtlinie in der Organisation existiert). Der CLI wird über copilot update oder npm install -g @github/copilot aktualisiert.
Was bedeutet die Abschaffung des PAT für die Sicherheit?
Die Umstellung der Authentifizierung von langlebigen PATs auf den kurzlebigen GITHUB_TOKEN ist keine reine „Quality of Life”-Änderung. Jeder langlebige Token, der aus der Workflow-Konfiguration verschwindet, ist ein potenzieller Kompromiss weniger. GitHub gibt explizit an, dass der neue Ansatz „operative und sicherheitsbezogene Risiken durch die Verwaltung langlebiger PATs für Automatisierungen im großen Maßstab” beseitigt.
Für Organisationen mit Dutzenden oder Hunderten von Repositories und CI/CD-Pipelines, die Copilot-CLI-Schritte enthalten, kann diese systemische Änderung die Angriffsfläche und den operativen Aufwand von Sicherheitsteams erheblich reduzieren, die den Status und die Laufzeit von Tokens überwachen.
Cost Center und automatische KI-Credit-Pools
Das zweite Changelog desselben Tages führt KI-Credit-Pools innerhalb von Cost Centern ein – GitHubs Mechanismus zur Gruppierung von Nutzern und zur Verwaltung von Kosten auf Team- oder Abteilungsebene.
Das neue System funktioniert in zwei Schichten. Auf der ersten Ebene sind KI-Credit-Pools, die die Nutzung eingeschlossener Credits regeln – jener, die mit Copilot Business- und Copilot Enterprise-Lizenzen geliefert werden. GitHub berechnet automatisch das Limit jedes Cost Centers basierend auf der Anzahl der zugewiesenen Lizenzen und passt es an, wenn Lizenzen hinzugefügt oder entfernt werden. Kein manuelles Eingeben von Zahlen oder Schätzen des „fairen Anteils” pro Team.
Auf der zweiten Ebene befinden sich separate Budgets für metered Kosten, die erst aktiviert werden, wenn die eingeschlossenen Credits aufgebraucht sind und die Zahlung auf ein nutzungsbasiertes Modell umschaltet. Organisationen können konfigurieren, ob das Überschreiten der ersten Schicht blockiert oder erlaubt werden soll.
Das Kernproblem, das gelöst wird: Ein aktives Team kann nicht mehr unbemerkt die gemeinsamen KI-Credits aufbrauchen, die auch andere Teams in der Organisation finanziert haben. GitHub verhindert diese Situation automatisch, ohne manuelle Überwachung.
KI-Kostenmanagement wird zur Infrastruktur
Beide Updates teilen einen Subtext, der über die technischen Details hinausgeht: Da KI ein integraler Bestandteil des Entwicklungsprozesses wird, fordern Enterprise-Organisationen dieselben Kontrollmechanismen, die sie bereits für andere Infrastruktur haben.
Die Abschaffung von PATs ist das Pendant zum Prinzip „keine langlebigen Credentials in Produktionsprozessen verwenden”. KI-Credit-Pools entsprechen Team-Budgetlimits in Cloud-Umgebungen. GitHub baut eine Managementschicht auf, die dem Tempo der Copilot-Adoption entspricht – eine wachsende Anforderung von CIOs und CISOs, die KI-Ausgaben gegenüber Vorständen rechtfertigen und kontrollieren müssen.
Für Ingenieure und DevOps-Teams, die Copilot in CI/CD integrieren, bedeuten beide Updates weniger manuelle Arbeit und mehr automatischen Schutz – was in diesem Kontext die einzig akzeptable Lösung für skalierbare Nutzung ist.
Häufig gestellte Fragen
- Warum benötigt Copilot CLI keinen PAT mehr in GitHub Actions?
- GitHub hat Unterstützung für den nativen GITHUB_TOKEN hinzugefügt, den Actions automatisch für jeden Workflow-Run generiert, was den operativen und sicherheitsbezogenen Risiken durch die Verwaltung langlebiger persönlicher Tokens in automatisierten Workflows beseitigt.
- Was sind KI-Credit-Pools in GitHub Cost Centern?
- GitHub berechnet automatisch das KI-Credit-Limit für jedes Cost Center basierend auf den zugewiesenen Copilot Business- und Copilot Enterprise-Lizenzen, sodass ein Team die gemeinsamen Credits nicht unbemerkt aufbrauchen kann.
- Welche technischen Voraussetzungen gelten für die Nutzung von Copilot CLI ohne PAT?
- Der Workflow benötigt die Berechtigung copilot-requests: write, und der Copilot CLI muss über copilot update oder npm install -g @github/copilot aktualisiert werden. Die Organisationsrichtlinie muss die Abrechnung des CLI auf Organisationsebene erlauben.
Quellen
Verwandte Nachrichten
AWS SageMaker-Leitfaden: Bei Multi-Turn-RL sind Belohnungsfunktion und Evaluierung wichtiger als der Algorithmus
Wie man Kostenexplosionen bei Coding-Agenten eindämmt: Vierphasiger Ansatz mit LangSmith
Anthropic führt Zugriffskontrolle für Modelle für Enterprise-Administratoren ein