Skip to main content

Sobre como usar Copilot CLI no GitHub Actions

Você pode executar CLI do Copilot em um fluxo de trabalho GitHub Actions usando um personal access token ou o GITHUB_TOKEN integrado. As duas abordagens diferem na forma como é feita a cobrança de AI credits e na configuração necessária.

Opções de autenticação e cobrança

Ao executar CLI do Copilot em um fluxo de trabalho GitHub Actions, você pode autenticar usando um personal access token (PAT) ou o GITHUB_TOKEN interno.

  • Usando um PAT: o fluxo de trabalho é autenticado como o usuário que criou o PAT. AI credits são extraídos dos direitos de Copilot assento desse usuário e sua licença determina quais modelos e recursos estão disponíveis. Isso funciona em qualquer repositório, mas apresenta riscos operacionais e de segurança para organizações que executam automações em escala.

  • Usando GITHUB_TOKEN: o fluxo de trabalho é autenticado como uma instalação, sem nenhum usuário individual associado à solicitação. A forma como AI credits são faturados depende de onde o fluxo de trabalho é executado:

    • Em um repositório de propriedade pessoal, o uso é cobrado no assento do proprietário do Copilot repositório.
    • Em um repositório de propriedade da organização, o uso é medido diretamente para a organização. Isso requer que a política "Permitir o uso de CLI do Copilot cobrado à organização" seja ativada por um proprietário da organização.

Usar GITHUB_TOKEN em um repositório de propriedade da organização é a abordagem recomendada para automações. Cada execução de workflow recebe um token de curta duração e com escopo definido, gerado por GitHub Actions, portanto não é necessário armazenar nem rotacionar credenciais de longa duração.

Observe que essa política é separada da configuração Copilot de licenciamento. As empresas que emitem licenças por meio de uma organização dedicada e realizam seu trabalho em outras organizações não precisam ter o licenciamento Copilot habilitado na organização em que trabalham, mas apenas da política.

Controlando o custo

Quando o uso é cobrado diretamente na organização, os orçamentos no nível Copilot do usuário não são considerados, pois o custo não é atribuído a nenhum usuário individual. Para gerenciar os custos com o uso de CLI do Copilot cobrado dessa forma, você pode:

  • Configure centros de custo para as organizações pertinentes. Os centros de custo permitem a atribuição de custo a grupos de organizações e os orçamentos podem ser aplicados a centros de custo. Consulte Centros de custo.
  • Monitore Copilot o uso dos painéis de cobrança e uso da sua organização para controlar o consumo ao longo do tempo.

Considerações de segurança

A execução CLI do Copilot em fluxos de trabalho automatizados apresenta riscos de segurança independentes de qual método de autenticação você usa. Como CLI do Copilot é uma ferramenta agente que pode ler e modificar o conteúdo do repositório, um fluxo de trabalho comprometido ou configurado incorretamente pode causar alterações não intencionais.

Para reduzir o risco:

  • Use GitHub fluxos de trabalho agênticos em vez de invocar CLI do Copilot diretamente em etapas de run. Os fluxos de trabalho agênticos são projetados com salvaguardas para uso automatizado.
  • Siga o princípio de privilégio mínimo ao definir permissões de fluxo de trabalho.
  • Examine os gatilhos de fluxo de trabalho com cuidado. Os fluxos de trabalho executados em resposta a eventos de pull request de forks apresentam maior risco de injeção de prompt.

Próximas Etapas 

Para saber como configurar CLI do Copilot com GITHUB_TOKEN em um fluxo de trabalho GitHub Actions, consulte Usando Copilot CLI em GitHub Actions com GITHUB_TOKEN.