GitHub CopilotはVS Code 4月リリースでこれまでで最も重要なアップデートの一つを出荷しました — Bring Your Own Key(BYOK)、エージェント向けのライブブラウザ共有、ターミナルアクセス、ワークスペース全体のセマンティック検索。Rubber Duckクロスモデルレビューエージェントは双方向になり、GitHubのMCP Serverは新しい成熟のマイルストーンに到達し、エンタープライズ管理者はマネージドCLIプラグインで新しいガバナンスレバーを獲得しました。今週のCopilot Weeklyでエンジニアリングチームに重要なすべてを以下に示します。


VS Code 4月リリース: エージェントワークフローのリセット

VS Codeバージョン1.116〜1.119が5月6日に登場し、開発者がIDEでCopilotとやり取りする方法を根本的に再構築するエージェントモード機能を備えました。ソース

Bring Your Own Key(BYOK)

Copilot BusinessEnterpriseユーザーは現在、VS Codeチャットで直接使用するために独自のAPIキー — OpenRouter、Microsoft Foundry、Google、Anthropic、OpenAI、またはOllama経由のローカルモデルから — をリンクできます。管理者はGitHub.comの「Bring Your Own Language Model Key」ポリシーを通じてアクセスを制御します。重要な理由: BYOKはCopilotサブスクリプションをモデル選択から切り離します。交渉されたAPI契約、リージョン制限されたモデル要件、または最先端のプレビューのニーズを持つチームは、GitHubがそれらを追加するのを待つ必要がもうありません。

エンタープライズの視点: 組織全体でBYOKを設定するには、コンプライアンス、コスト追跡、キーガバナンスの周りの慎重な計画が必要です。AI & Automationプラクティスはエンタープライズが既存の調達とセキュリティポリシーに整合したモデルソーシング戦略を評価するのを支援します。

ターミナルアクセスとブラウザ共有

エージェントは現在、実行中のREPLやインタラクティブスクリプトを含む既存のフォアグラウンドターミナルから読み書きできます。別途、エージェントはオンデマンドでタブを共有することでユーザーのライブブラウザにアクセスでき — コンテンツの読み取り、ページとのやり取り、変更のリアルタイム検証が可能。重要な理由: ターミナルはコーディングエージェントにとってブラインドスポットでした。現在エージェントは実行中のプロセスを診断し、デバッグ中にサーバーログを検査できます。ブラウザアクセスと組み合わせることで、エージェントはコード生成からランタイム検証まで、実行中のアプリケーションとのエンドツーエンドのやり取りが可能になります。

ワークスペース全体のセマンティック検索

エージェントは現在、任意のワークスペースにわたり意味で検索でき、新しいgithubTextSearchツールを使用してGitHubリポジトリと組織全体でgrepスタイルのクエリを実行できます。重要な理由: セマンティック検索は、命名規約が異なる大規模なコードベースでコンテキストを見つけることを劇的に改善します — 「セッションタイムアウトの処理」は、実装が「トークン有効期限」や「認証ウィンドウ」を使用している場合でも関連コードを見つけます。

他に出荷されたもの

  • チャット内のインライン差分 — コード変更がチャットスレッドに直接差分として表示。
  • /chronicle(実験的) — 自分のチャット履歴を照会して過去のセッションとPRを思い出す。
  • より低いトークン使用量 — よりスマートなプロンプトキャッシュと遅延ツール読み込みで消費を削減。
  • リモートCLIセッションのステアリング — VS Codeで開始されたCopilot CLIセッションをGitHub.comまたはGitHub Mobileから監視可能(実験的)。
  • エージェントプラグイン(プレビュー) — スキル、エージェント、フック、MCPサーバーの事前パッケージされたバンドルで、マーケットプレースから発見可能でワークスペース設定経由で集中的に推奨。

Rubber Duckが双方向に

Copilot CLIのRubber Duckクロスファミリレビューエージェントが両方向で動作するようになりました:

  • GPTセションユーザー: 第二の意見のためにClaude駆動のRubber Duckを取得。
  • Claudeセションユーザー: レビューアモデルとしてGPT-5.5とペア(アップグレード)。

/experimental onが必要。ソース

重要な理由: クロスファミリレビューは異なるモデルアーキテクチャの補完的な強みを活用します。以前の投稿で、Claude Sonnet + Rubber DuckがSWE-Bench ProでSonnetとOpus間のパフォーマンスギャップの74.7%を閉じたことを示しました。今週はその能力を両ファミリに拡張します — すべての開発者が、主な選択に関わらず、異なるモデルの視点を取得できます。単一モデルのブラインドスポットを心配するエンタープライズにとって、これは実用的なヘッジです。


MCP Serverのマイルストーン

GitHub MCP Server経由のシークレットスキャン一般提供に — MCP互換エージェントはコミットやPR前に露出したシークレットをスキャンでき、既存のプッシュ保護のカスタマイズを尊重。ソース

依存関係スキャンパブリックプレビューに入り、変更をGitHub Advisory Databaseに対してチェックし、影響を受けるパッケージ、重大度、修正バージョンを含む構造化された結果を返します。ソース

重要な理由: これらはMCP Serverをコミット前のセキュリティゲートに変えます。シークレットスキャンのGA指定はプロダクション準備を示します — エージェントはワークフローの一部として自動的にシークレットと脆弱性をチェックでき、PRに到達する前に問題をキャッチします。


エンタープライズ管理

マネージドCLIプラグイン — パブリックプレビュー

エンタープライズ管理者は.github-private/.github/copilot/settings.jsonsettings.json経由でCopilot CLIユーザーにプラグインを集中的に設定・配布できます。BusinessまたはEnterpriseユーザーがCopilot CLIで認証するとプラグインが自動インストールされます。ソース

重要な理由: 集中型CLI管理がないと、各開発者が独立してプラグインを設定し — 不一致とセキュリティギャップを生み出します。これにより管理者は標準ツールチェーンを強制しながらカスタマイズを許可できます。

Cloud Agent: 組織レベルのシークレット

Copilot cloud agentにシークレットと変数向けの専用の「Agents」セクションが追加されました。管理者は初めて組織レベルでこれらを設定でき、リポジトリごとのアクセス制御を備えてリポジトリ全体で共有。ソース

エンタープライズの視点: 集中型シークレット管理は、スケールでのAIガバナンスの前提条件です。組織全体でCopilotエージェントを採用するチームは、監査トレールとアクセス制御を維持するためにこれを構造化されたAI自動化プラクティスとペアにすべきです。

コードレビューのメトリクスがきめ細かに

使用量メトリクスAPIがcopilot_suggestions_by_comment_typeを公開し、提案をカテゴリ(securitybug_risk)ごとに合計と適用数で内訳。ソース


モデルの非推奨化: 動いている3つのモデル

複数のモデル非推奨化が注意を必要とします:

  • Claude Sonnet 4 — 5月6日に非推奨。Claude Sonnet 4.6に切り替え。
  • GPT-4.1 — 6月1日に非推奨。GPT-5.5に切り替え。
  • Grok Code Fast 1 — xAIの要請で5月15日に加速。代替: GPT-5 miniまたはClaude Haiku 4.5。

ソース(Claude) | ソース(GPT-4.1) | ソース(Grok)

重要な理由: Grokの加速されたタイムラインは移行に1週間未満しか残しません。GPT-4.1チームは6月1日まであります — これはCopilot code reviewがプライベートリポジトリでGitHub Actions分を消費し始めるのと同時です。モデル選択と今後のコスト影響の両方を監査する良いタイミングです。ソース(AI Credits)


今週のその他

  • トークン効率のディープダイブ — GitHubがプロダクションエージェントワークフローを計装した方法を公開し、未使用のMCPツール登録が呼び出しごとに8〜12 KBのオーバーヘッドを追加したことを発見。データ取得のためにGitHub MCP呼び出しをgh CLI呼び出しで置き換えることで完全なLLMラウンドトリップを排除。スケールでエージェントを実行するチームにとって必読。ソース

  • Enterprise Live Migrations — パブリックプレビュー — GHESからGHECへのリポジトリ移行をデータレジデンシーとゼロダウンタイム切り替えで数分で。GHES 3.17.14+で出荷。ソース

  • Code-to-cloudリスク可視性 — GA — Defender for Cloudがコンテナイメージをソースリポジトリに相関付け、GitHub Advanced Securityで新しいランタイムコンテキストフィルタを追加。ソース

  • Datadog Copilot統合 — 補完、チャット、エージェントモード、CLIメトリクスをチーム/言語/IDE/リポジトリ別に追跡し、ライブ観測可能性データアクセスのためのGA MCP Serverを追加。ソース

  • エージェント生成PRのレビューガイド — 出荷前に技術的負債をキャッチする実用的なアドバイス。ソース


注目すべきこと

  • 5月15日: Grok Code Fast 1の非推奨化 — 加速。GPT-5 miniまたはClaude Haiku 4.5を今テスト。
  • 6月1日: GPT-4.1非推奨化 + AI Credits強制 — 2つの変更が収束。モデル選択とコードレビューのコストを同時に監査。
  • Docker Extension for Copilot(限定ベータ) — コンテナ化のガイダンス、Dockerfile生成、Node、Python、Java向けのDocker Scout脆弱性分析。ソース
  • MCP Registryの拡大 — インフラ(Azure、Terraform)、データベース(MongoDB、Elasticsearch)、デザイン(Figma、Webflow)サーバーがカタログ化。

今週のCopilot Weeklyは以上です。VS Code 4月アップデートだけでも注目すべきですが、双方向Rubber Duckレビュー、MCP Serverの成熟、新しいエンタープライズガバナンスツールと組み合わせることで、これは個々の開発者のIDEから管理者のコントロールパネルまで、あらゆる面でCopilotを前進させた週でした。

これらの能力をあなたの組織で活かしてください。 BYOK設定の評価、MCP Serverセキュリティスキャンのロールアウト、またはエンタープライズAIガバナンス戦略の構築のいずれであっても、Big Hat Groupが支援できます。チームにお問い合わせくださいまたはAI & Automationサービスを探求してください

来週も最新情報をお届けします。