出典:GitHub公式
詳細を読む
GitHubは、GitHub Code SecurityにAI活用のセキュリティ検出機能を導入すると発表しました。従来の静的解析ツールCodeQLを補完し、より多くの言語やフレームワークの脆弱性を検出する新機能で、Q2初頭にパブリックプレビューが予定されています。
現代のコードベースはスクリプトやインフラ定義など多様なエコシステムを含んでおり、従来の静的解析だけでは対応が困難な領域が広がっています。新機能はCodeQLの精密な意味解析とAIによる検出を組み合わせたハイブリッド型のアプローチを採用しています。
内部テストでは30日間で17万件以上の検出結果を処理し、開発者から80%以上の肯定的なフィードバックを獲得しました。新たに対応するエコシステムにはShell/Bash、Dockerfile、Terraform設定(HCL)、PHPが含まれます。
検出された脆弱性にはCopilot Autofixが修正案を自動生成します。2025年には46万件以上のセキュリティアラートがAutofixで修正され、修正完了までの平均時間はAutofix未使用時の1.29時間から0.66時間へと大幅に短縮されています。
GitHubはマージポイントにおけるセキュリティポリシーの適用を重視しており、検出・修正・ポリシー適用をプルリクエスト上で一元的に実行できます。RSACカンファレンスのブース#2327で本機能のデモが公開される予定です。