Şöyle başlayayım: GitHub Copilot SDK’nın GA (General Availability) duyurusunu görünce içimden direkt “nihayet” dedim. Public preview döneminde birkaç müşteride deneme entegrasyonları yapmıştık,. API yüzeyi öyle sık — en azından ben öyle düşünüyorum — değişiyordu ki, bir hafta yazdığın kodu ertesi hafta eline alıp tekrar elden geçiriyordun — insanın canı sıkılıyor açıkçası. Şimdi en azından oturmuş bir sürüm var. Kurumsal tarafta bunun etkisi az değil bence.
Ama hemen şunu da ekleyeyim: SDK’nın GA olması “hadi herkes yarın production’a alsın” demek değil. Birazdan değineceğim, bazı senaryolarda hâlâ biraz ham duruyor. Lafı gevelemeden, sahada gördüklerimi ve teknik tarafı anlatayım.
Copilot SDK Tam Olarak Ne Sunuyor?
Bunu yaşayan biri olarak söyleyeyim, Kısaca söyleyeyim: Copilot SDK, GitHub Copilot’un arkasındaki agentic engine’i — yanı planlama, tool çağırma, dosya düzenleme, streaming, multi-turn oturum yönetimi — kendi uygulamanın içine koymana izin veriyor. Yanı sıfırdan bir orchestration katmanı yazmak zorunda kalmıyorsun. Güzel tarafı bu.
Eh, Bunu biraz daha somut anlatayım (bizzat test ettim). Diyelim bir CI/CD asistanı yapmak istiyorsun. Eskiden ne yapardın? LLM API’sını doğrudan çağırırdın, tool calling mantığını kendin kurardın, retry/streaming/permission işlerini tek tek yazardın. Aşağı yukarı 2-3 haftalık iş çıkar. Şimdi SDK’yı kurup birkaç satır kodla aynı yere geliyorsun gıbı görünüyor. Tabii “birkaç satır” kısmı biraz aldatıcı; production’a çıkarken üstüne epey şey eklemek gerekiyor.
Geçen ay bir telekom müşterisinde benzer bir asistan kurguluyorduk. Internal developer portal için. O zaman preview SDK’sını kullandık ve dürüst olayım, hook system olmasaydı projeyi yetiştirmek zor olurdu. Önü birazdan açacağım.
Altı Dilde Birden — Ama Hepsi Eşit Değil
SDK şu an altı dilde geliyor:
- Node.js / TypeScript:
npm install @GitHub/copilot-sdk - Python:
pip install github-copilot-sdk(bu kritik) - Go:
go get GitHub.com/GitHub/copilot-sdk/go— bunu es geçmeyin - .NET:
dotnet add package GitHub.Copilot.SDK(bu kritik) - Rust:
cargo add github-copilot-sdk— GA ile yeni - Java: Maven/Gradle üzerinden — GA ile yeni
Açık konuşayım: TypeScript ve Python tarafı en olgun olanlar gıbı duruyor. Preview’dan beri en çok onlar kullanıldı zaten, dokümantasyon da doğal olarak orada daha dolu..NET tarafı fena değil. Bazı yerlerde eksik hissi veriyor; mesela slash command desteği önce gelmemişti, GA ile bütün dillere yayılmış öldü. Java ve Rust işe daha yeni sayılır, o yüzden sahada biraz daha test edilmeleri gerekecek gıbı.
Bence Türkiye’deki ekiplerin büyük bölümü.NET ve Node tarafından ilerleyecek. Java tarafı bankacılık. Telekom için kilit kalıyor; oradaki müşterilerimin çoğu Spring Boot tabanlı altyapıya bunu nasıl bağlarız diye şimdiden soru soruyor. E sonra? Beklemek de istemiyorlar tabii.
Sahadan Gözlem: En Çok İşe Yarayan Özellikler
Custom Tools ve MCP Entegrasyonu
Bence SDK’nın en kuvvetli yanı burası. Agent’ın otomatik çağırabileceği özel tool’lar kaydedebiliyorsun, Model Context Protocol (MCP) sunucularına bağlanabiliyorsun. Hatta dahili grep veya edit_file gıbı tool’ları kendi hayata geçirmeunla override edebiliyorsun. Kulağa küçük geliyor ama işin rengi tam burada değişiyor.
Neden önemli? Çünkü kurumsal ortamlarda dosya sistemine direkt erişim çoğu zaman yasak oluyor. Bir bankada agent’a edit_file‘ı olduğu gıbı bırakırsan compliance ekibi kapına dayanır, hiç abartmıyorum. Ben geçen projede dahili edit_file‘ı override ettim; kendi implementasyonum önce audit log’a yazıyor, sonra approval queue’ya düşürüyor, onay gelirse dosyaya yazıyor (arada biraz bekleme var. Olsun). SDK olmasa bunu kurmak için günler giderdi.
Tool override özelliği, regulated industries için olmazsa olmaz gıbı duruyor. Bunu atlayan ekipler ya SDK’yı yarım bırakıyor ya da production’a aldıktan sonra compliance duvarına çarpıyor.
Hook System — Sessiz Kahraman
Hook sistemi ilk bakışta dokümanda gözden kaçıyor ama gerçekte SDK’nın en iş gören parçalarından biri bence. Agent davranışını şu noktalarda araya girip kontrol edebiliyorsun: Daha fazla bilgi için PostgreSQL’in Geleceği: Microsoft’tan Commit’ten Bulut’a yazımıza bakabilirsiniz.
- Tool kullanımından önce ve sonra (pre/post)
- Oturum başlangıcında
- MCP tool çağrılarında
- Permission isteklerinde — bunu es geçmeyin
Sahadan örnek vereyim. Bir finans kuruluşunda agent’ın belirli klasörlere dokunmasını istemiyorduk. Pre-tool-use hook ile gelen dosya yolunu kontrol ettim; eğer /secrets veya /keys içeriyorsa direkt reddediyorum (hem de audit log üreterek). Sonra agent’a “bu yola erişimin yok, başka yol dene” diyorum ve agent çoğu zaman kendini toparlıyor. Bu kadar basit aslında.
Fine-Grained System Prompt
Bunun da tadı ayrı ama ufak bir yan etkisi var gıbı duruyor. Copilot’un system prompt’unu komple yeniden yazmak yerine sadece belli bölümlerini (identity, tone, tool instructions, safety rules) değiştirebiliyorsun. Pratik mi? Evet, baya iş görüyor.
Ama dikkat etmek lazım: tone’u fazla oynarsan agent’ın “Copilot karakterinden” çıktığını ben gördüm. Bir müşteri “asistanımız Türkçe konuşsun ve daha samimi olsun” dedi, ben de tone bölümünü buna göre değiştirdim. Sonuç mu? Agent bazı teknik kararları daha gevşek vermeye başladı (en azından benim deneyimim böyle). Demek ki tone değişikliği sadece konuşma stilini değil, karar verme sertliğini de etkiliyor olabilir. %100 doğru olmayabilir ama gözlem bu yönde öldü diyeyim. Daha fazla bilgi için Dependabot Artık sbt’yi Destekliyor: Scala Tarafına Nefes yazımıza bakabilirsiniz.
Authentication: Esneklik İyi, Karar Vermek Zor
Tamam, şimdi kimlik doğrulama kısmına gelelim; orası biraz karışık ama güzel karışık değil hani.
Size bir şey söyleyeyim, SDK dört farklı kimlik doğrulama yolu sunuyor:
- GitHub OAuth
- GitHub Apps — bunu es geçmeyin
- Environment token’lar
- BYOK (Bring Your Own Key) — OpenAI, Microsoft Foundry, Anthropıc vb.
BYOK önemli bir seçenek çünkü GitHub Copilot aboneliğin olmasa bile SDK’yı kullanabiliyorsun. Kendi Azure OpenAI veya Microsoft Foundry deployment’ını bağlıyorsun ve model çağrısı oradan gidiyor. Bu yaklaşım özellikle Türkiye’deki Microsoft Foundry Nişan 2026: Sahadan Notlar. Yorum yazısında bahsettiğim Foundry kullanıcıları için iyi bir geçiş yolu gıbı duruyor.
Hangı Yöntemi Seçmeli?
Sahadan kısa rehber şöyle:
| Senaryo | Önerilen Yöntem | Neden |
|---|---|---|
| İlk geliştirici, kişisel proje | GitHub OAuth | Hızlı kurulum, Copilot Free dahil |
| Çalışma grubu içi developer tool | GitHub App | Granüler yetkilendirme, audit |
| İç/CD pipeline’i? | Environment Token | Headless, rotate edilebilir |
| İşkilli kurumsal ortam? | BYOK (Foundry) | Data residency, network izolasyonu |
Peki İlk Adımı Nasıl Atarsın?
Eh, Düz gidelim: bir kod parçası ekleyeyim ki konu havada kalmasın (bizzat test ettim) PowerToys 0.99 Çıktı: Power Display ve Grab And Move yazımızda bu konuya da değinmiştik.
#import { CopilotAgent } from '@GitHub/copilot-sdk';
const agent = new CopilotAgent({
auth: { type: 'oauth', token: process.env.GH_TOKEN },
systemPrompt: {
identity: 'Sen kurumsal kod inceleme asistanısın.',
safety: 'Asla /secrets klasörüne yazma.'
}
});
agent.hooks.preToolUse(async (ctx) => {
if (ctx.tool === 'edit_file' && ctx.args.path.includes('/secrets')) {
await auditLog('blocked_secrets_write', ctx);
return { deny: true, reason: 'Secrets dizinine yazım yasak.' };
}
});
const session = await agent.createSession();
await session.sendMessage('PR #421 için güvenlik analizi yap.');
}Böyle bakınca çok basit görünüyor. Ama bunun production’a gitmesi için loglama, retry stratejisi, timeout ve cost tracking gıbı konuları ayrıca ele almak gerekiyor. Bu küçük örnek sadece minimum viable hâli sayılır. Bu konuyla ilgili azd update Komutu Geldi: Paket Yöneticisi Derdine Son yazımıza da göz atmanızı tavsiye ederim.
Türkiye Perspektifi: Kim Kullanmalı, Kim Beklemeli?
Bence en kilit kısma geldik şimdi. Türkiye’deki kurumsal müşterilerde gördüğüm kadarıyla AI agent benimsenmesi biraz farklı ilerliyor.
Avrupa ya da ABD’deki gıbı “hemen production’a alalım” refleksi pek yok.
Daha temkinliler.
Önce PoC oluyor,
sonra hukuk ekibinin onayı geliyor,
ardından pilot,
en son da yaygınlaştırma.
Biraz uzun sürüyor ama bazen iyi de oluyor (ben de ilk duyduğumda şaşırmıştım) Bu konuyla ilgili Cosmos DB Güvenliği: Yeni Projede İlk Gün Kararları yazımıza da göz atmanızı tavsiye ederim.
Evet, doğru duydunuz.
Burada, size bir şey söyleyeyim, Buna göre bence ayrımı şu şekilde yapmak lazım:
İçe Hemen Başlayabilecekler?
- Status-quo startup’s and scale-up’s?”: Hızlı PoC yapmak isteyenler ya da customer-facing AI özelliği eklemek isteyenler.
SDK kurulumu ile production arasında iki-üç hafta civarı bir süreç
görmek mümkün olabilir. - Ïç; developer tool yazan ekipler:: Veri hassasiyeti düşük internal automation senaryolarında gayet başlanabilir.
Buyurun yanı.
- Tam da öyle.
Foundry kullanan kurumlar:: BYOK ile data residency tarafını zaten çözmüş oluyorsunuz,
SDK entegrasyonu da doğal devam ediyor gıbı duruyor.
Evet.
Kendini Biraz Tutması Gerekenler?
- Kısaca bankalar ve finans:: KVKK + BDDK + lokal data residency işi var.
Önce kurum içi AI governance framework’ünü oturtmak lazım,
sonra bakılır.
Peki neden? - Sağlık sektörü:: Hasta verisiyle aynı network’te çalışan agent’larda ekstra dikkat gerekiyor.
MCP üzerinden bağlanacak sistemlerin audit’ten geçtiginden emin olmak şart.
Yoksa sıkıntı çıkar. - Kamu projeleri:: Genelde “biraz olgunlaşsın” deyip bekleyenlerin kazandığı alanlardan biri bu.
Maalesef.
BİR DE maliyet tarafı var tabi.
Copilot aboneliğiniz varsa SDK ücret olarak paket içinde kalıyor.
Ama BYOK ile gittiğinizde Azure OpenAI token fiyatları üzerinden ödüyorsunuz.
Kabaca hesap yapınca orta yoğunlukta kullanılan bir internal asistan ayda
30-50 bin TL token maliyeti çıkarabilir.
Az değil yanı.
FinOps planlamasını buna göre yapmak lazım.
EKSİKLER VE SÜRTÜNME NOKTALARI?
MADALYONUN öteki yüzü var tabi.
Her şey güllük gülistanlık değil,
olsa şaşardım zaten.
BİRİNCİSİ”, dokümantasyon hâlâ TypeScript ağırlıklı duruyor.
Java ve Rust dilleri için cookbook örnekleri sınırlı.
Bence GitHub’ın bu tarafa biraz daha yatırım yapması gerekiyor.
Yoksa ekipler kendi başına debeleniyor.”
“İkincisi”, OpenTelemetry desteği iyi hoş ama default dashboard’lar gelmiyor.
Yanı Application Insights ya da Grafana’ya bağladıktan sonra dashboard’u sen kuruyorsun.
İlk hafta baya zaman alıyor,
sonra alışılıyor ama başta yoruyor.”
“Üçücüsü”<\STRONG>, multi-client workflow desteği yeni geldi ama sahada henüz çok test edilmedi.
Farklı client’ların aynı oturuma tool ve permission katkısı yapması teoride hoş,
pratikte race condition görme ihtimali var.
Bekleyip görmek lazım.”
Bir de küçük bir sorun var:
SDK ilk çalıştırıldığında Copilot CLI binary’sını indirmesi gerekiyor
(özellikle Rust’ta bundled).
Kapalı network’lerde — yanı internet’e doğrudan çıkışı olmayan kurumsal makinelerde — bu adım sorun çıkarabiliyor.
Geçen hafta bir müşteride tam buna takıldık;
çözüm olarak binary’yi internal artifact registry’ye koyup oradan besledik.
Doküman bu konuda biraz daha açık olsa fena olmazdı.”
Eğer “tamam ya,
ben deneyeyim” diyorsanız önerim şu sırayla gitmek:
önce GitHub Copilot Free hesabıyla başlayın ki ücret derdi olmasın;
sonra TypeScript SDK ile basit bir CLI asistan kurun
(bu iş genelde bir iki saat sürüyor);
ardından bir custom tool ekleyin —
mesela “git log son 10 commit’i getir” gıbı;
peşinden pre-tool-use hook koyup audit log üretin;
sonra MCP server bağlayıp agent’a kurumsal context verin;
production’a almadan önce de cost tracking ile rate limiting’i unutmayın.
Bu ikisi sonradan can sıkıyor çünkü.”
“Bu sırayla giderseniz hem öğrenme eğrisi düz kalır hem de production aşamasında sürprizlerle karşılaşmazsınız.”
Bu arada Copilot ekosistemini daha geniş takıp etmek isteyenler için
Copilot Usage Metrics API:
Artık Kohortlu AI Adopsiyon Devri
yazımı da okuyabilirsiniz — adopsiyon ölçümlemesi tarafında işinize yarar.
AI agent’ları Kubernetes ortamında çalıştırmayı düşünenler için işe
Agent Sandbox:
Kubernetes’te AI Agent’ları Çalıştırmak
yazısı tam üstüne gelir.”
“
>
Sıkça Sorulan Sorular
Copilot SDK paralı mı?
Zaten GitHub Copilot aboneliğiniz varsa SDK de dahil geliyor. Hani Copilot Free planı bile kişisel kullanım için yeterli aslında. Siz hiç denediniz mi? Ama aboneliğiniz yoksa BYOK ile (OpenAI, Microsoft Foundry falan) de kullanabilirsiniz — bu durumda token maliyetleri tabii ki sağlayıcınızın hesabına yansıyor.
Kendi LLM modelimi bağlayabilir mıyım?
Evet, BYOK desteği var. OpenAI, Microsoft Foundry, Anthropıc ve daha fazlasını bağlayabiliyorsunuz. Bu özellikle data residency ya da özel model deployment ihtiyacı olan kurumsal senaryolarda gerçekten kritik oluyor. Bence Foundry kullananlar için entegrasyon oldukça doğal akıyor.
Copilot CLI ile SDK aynı şey mi?
Değil. Copilot CLI son kullanıcı için bir terminal arayüzü. SDK işe CLI’ın altında yatan agent runtime’a programatik erişim sağlıyor. Yanı CLI’ı bir uygulama olarak kullanıyorsunuz, SDK’yı işe kendi uygulamanızın içine gömüyorsunuz. Aslında SDK, CLI binary’sını de bundled olarak içinde taşıyor.
Hook system production’da güvenli mi?
Açıkçası evet. Hook’lar senkron çalışıyor. Agent’ı bloklayabiliyor — pre-tool-use hook’tan deny dönerseniz tool çağrısı hiç gerçekleşmiyor. Audit log, permission kontrolü, compliance gıbı senaryolar için ideal. Tecrübeme göre de güvenli, birden fazla regulated müşteride production’da kullandım, hiç sorun yaşamadım.
Peki neden?
Multi-language projelerde hangı SDK’yı seçmeliyim?
Bir şey dikkatimi çekti: Mikroservis mimariniz varsa her servisin kendi dilinde SDK kullanması mantıklı geliyor bana. Ama agent oturumunu paylaşmak istiyorsanız remote session URL özelliğine bakın — yanı farklı dillerden aynı session’a bağlanabiliyorsunuz (buna dikkat edin). Pratikte çoğu ekip tek bir orchestrator dil seçip (genelde TypeScript ya da Python) oradan yönetiyor zaten.
Kaynaklar ve İleri Okuma
Konuyu derinleştirmek isteyenler için resmî kaynaklar:
- GitHub Blog: Copilot SDK GA Duyurusu
- GitHub Copilot Resmî Dokümantasyonu
- Model Context Protocol (MCP) Spesifikasyonu — bunu es geçmeyin
- Microsoft Foundry — BYOK Senaryoları İçin
Son söz: Copilot SDK kağıt üstünde olgunlaşmış görünüyor, sahada da büyük ölçüde öyle. Ama her teknoloji gıbı sınırları var. Hemen production’a koşmayın — küçük bir PoC ile başlayın, hook’larla audit altyapınızı oturtun, sonra ölçeklendirin. Sorularınız olursa LinkedIn’den ulaşabilirsiniz, sahada gördüklerimi paylaşmaktan mutluluk duyarım.
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
