🟢 🏥 U praksi Objavljeno: · 3 min čitanja ·

GitHub Copilot u CI/CD-u: bez osobnih tokena i s kontrolom troškova po timu

Editorial ilustracija: GitHub Copilot kontrola troškova i AI kreditni bazeni za enterprise timove

GitHub je istog dana objavio dva enterprise ažuriranja za Copilot: CLI u GitHub Actions više ne zahtijeva osobni pristupni token, a cost centeri sada podržavaju AI credit poolove s automatskim limitima koji štite timove jedne od drugih.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

GitHub je 2. srpnja 2026. objavio dva zasebna enterprise ažuriranja za Copilot koja dijele isti strateški smjer: manje ručnog upravljanja, više automatske zaštite. Jedno se tiče autentifikacije u CI/CD pipelineovima, drugo financijskog upravljanja AI kreditima po timovima.

Kraj osobnih tokena u automatiziranim workflowovima

Dosad je integracija Copilot CLI-ja u GitHub Actions zahtijevala da svaki tim ili developer pohrani osobni pristupni token (PAT) u tajne repozitorija ili organizacije. PAT bi se zatim koristio za autentifikaciju Copilota unutar workflowa. Pristup je funkcionirao, ali donio je poznate probleme: PAT-ovi imaju duge životne vijekove, vežu se uz konkretan korisnički račun i predstavljaju sigurnosni rizik ako se kompromitiraju ili zaborave rotirati.

Od 2. srpnja, Copilot CLI funkcionira s nativnim GITHUB_TOKEN — kratkoživućim tokenom koji GitHub Actions generira automatski za svaki pojedini pokretanje workflowa. Nema više ručnog kreiranja, pohrane ni rotacije.

Za korištenje novog mehanizma workflow treba eksplicitnu dozvolu copilot-requests: write. Naplata se prebacuje s individualnog korisnika na organizaciju, što zahtijeva aktiviranu politiku “Allow use of Copilot CLI billed to the organization” (uključena je po zadanom ako već postoji Copilot CLI politika u organizaciji). CLI se ažurira putem copilot update ili npm install -g @github/copilot.

Što eliminacija PAT-a znači za sigurnost?

Premještanje autentifikacije s dugoživućih PAT-ova na kratkoživući GITHUB_TOKEN nije samo “quality of life” promjena. Svaki dugoživući token koji nestane iz workflow konfiguracije jedan je mogući kompromis manje. GitHub eksplicitno navodi da novi pristup eliminira “operativne i sigurnosne rizike upravljanja dugoživućim PAT-ovima za automatizacije u velikom opsegu”.

Za organizacije s desetcima ili stotinama repozitorija i CI/CD pipelineova koji uključuju Copilot CLI korake, ova sistemska promjena može značajno smanjiti površinu napada i operativni teret sigurnosnih timova koji prate stanje i rok trajanja tokena.

Cost centeri i automatski AI credit poolovi

Drugi changelog od istog dana uvodi AI credit poolove unutar cost centara — Githubovog mehanizma za grupiranje korisnika i upravljanje troškovima na razini tima ili odjela.

Novi sustav funkcionira u dvama slojevima. Na prvoj razini su AI credit poolovi koji reguliraju korištenje uključenih kredita — onih koji dolaze s Copilot Business i Copilot Enterprise licencama. GitHub automatski izračunava limit svakog cost centera prema broju licenci koje su mu dodijeljene i prilagođava ga kad se licence dodaju ili uklanjaju. Nema ručnog unosa brojeva ni procjenjivanja “fer udjela” po timu.

Na drugoj razini su zasebni budžeti za metered troškove koji se aktiviraju tek kada se uključeni krediti iscrpe i plaćanje prelazi na model naplate po upotrebi. Organizacije mogu konfigurirati hoće li prekoračenje prvog sloja biti blokirano ili dopušteno.

Ključni problem koji rješava: jedan aktivan tim ne može više nesvjesno iscrpiti zajedničke AI kredite koje su financirali i drugi timovi u organizaciji. GitHub sprečava tu situaciju automatski, bez potrebe za ručnim nadgledanjem.

Upravljanje AI troškovima postaje infrastruktura

Oba ažuriranja dijele jedan podtekst koji je širi od tehničkih detalja: kako AI postaje integralni dio razvojnog procesa, enterprise organizacije traže iste kontrolne mehanizme koje već imaju za ostalu infrastrukturu.

Eliminacija PAT-ova pandan je principu “ne koristite dugoživuće kredencijale u produkcijskim procesima”. AI credit poolovi pandan su budžetskim limitima po timu u cloud okruženjima. GitHub gradi upravljački sloj koji prati tempo usvajanja Copilota — što je sve veći zahtjev CIO-a i CISO-a koji moraju opravdati i kontrolirati AI troškove pred upravnim odborima.

Za inženjere i DevOps timove koji integriraju Copilot u CI/CD, oba ažuriranja znače manje ručnog posla i više automatske zaštite — što je u ovom kontekstu i jedino prihvatljivo rješenje za skalabilnu upotrebu.

Česta pitanja

Zašto Copilot CLI više ne treba PAT u GitHub Actions?
GitHub je dodao podršku za nativni GITHUB_TOKEN koji Actions generira automatski za svaki workflow run, što eliminira operativne i sigurnosne rizike upravljanja dugoživućim osobnim tokenima u automatiziranim workflowovima.
Što su AI credit poolovi u GitHub cost centerima?
GitHub automatski izračunava limit AI kredita za svaki cost center prema dodijeljenim Copilot Business i Copilot Enterprise licencama, sprečavajući jedan tim da iscrpi zajedničke kredite namijenjene svim timovima u organizaciji.
Koje su tehničke pretpostavke za korištenje Copilot CLI-ja bez PAT-a?
Workflow treba copilot-requests: write dozvolu, a Copilot CLI mora biti ažuriran putem copilot update ili npm install -g @github/copilot. Organizacijska politika mora dopuštati naplatu CLI-ja na razini organizacije.