Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL

脆弱性の検出から修正提案まで:GitHub CopilotとCodeQLを利用したCode Scanningの自動修正機能

Image of Ishikawa Setsuna

GitHub Advanced Securityを利用しているお客様を対象にパブリックベータ版として提供されるCode Scanningの自動修正機能を使用することで、開発者はサポート対象のアラートの ⅔ 以上のほとんど、あるいはまったく編集することなく修正することができます。


3月20日(米国時間)より、GitHub Advanced Securityをご利用のすべてのお客様を対象に、Code Scanningの自動修正機能がパブリックベータ版として提供されます。GitHub CopilotとCodeQLを利用したCode Scanningの自動修正機能は、JavaScript、TypeScript、Java、Pythonのアラートタイプを90%以上カバーし、検出された脆弱性の ⅔ 以上の
ほとんど、あるいはまったく編集することなく修正できるコードを提案するものです。

脆弱性の検出から修正提案まで

アプリケーションセキュリティに対するGitHubのビジョンは、「検出」が「修正」を意味する環境を構築することです。私たちは、GitHub Advanced Securityでの開発者エクスペリエンスを優先事項としており、開発者チームは既に従来のセキュリティツールより7倍も迅速に修正できるようになっています。Code Scanningの自動修正機能は、次なる飛躍的な進歩であり、開発者が修正に費やす時間と労力を大幅に削減できるよう支援するものです。

Code Scanningの自動修正機能は、脆弱性を修正するためのコード提案と説明を提供します。

アプリケーションが依然として主要な攻撃ベクトルであるにもかかわらず、ほとんどの組織は、本番環境のリポジトリに存在する未修正の脆弱性の数が増え続けていることを認めています。Code Scanningの自動修正機能によって、開発者がコーディング中に脆弱性を容易に修正できるようにすることで、組織はこの「アプリケーションセキュリティ負債」の増加を抑制できるようになります。

GitHub Copilotが開発者を面倒な反復作業から解放するように、Code Scanningの自動修正機能によって、開発チームはこれまで修復に費やしていた時間を取り戻すことができます。また、セキュリティチームにとっても、日常的な脆弱性の量が減ることで、加速する開発ペースに対応しながらビジネスを保護するための戦略に集中できるようになります。


Code Scanningの自動修正機能を試してみませんか?GitHubを初めてご利用になる場合や、GitHub Advanced Security (またはその前提条件である GitHub Enterprise) をまだ導入していない場合は、デモのリクエストと無料トライアルを設定するためにGitHubまでご連絡ください。


Code Scanningの自動修正機能の仕組み

サポート対象言語で脆弱性が検出された場合、修正提案には提案された修正に関する自然言語での説明とコード提案のプレビューが含まれます。開発者はこのコード提案を受け入れて編集、または却下することができます。これらのコード提案には、現行ファイルへの変更に加えて、必要に応じて複数のファイルへの変更、プロジェクトに追加すべき依存関係も含まれます。

Code Scanningの自動修正機能の仕組みについて詳しく知りたい方は、
セキュリティの脆弱性をAIで修正する」をご覧ください。

Code Scanningの自動修正機能は、裏側でCodeQL エンジン、ヒューリスティックとGitHub Copilot APIの組み合わせによってコード提案を生成します。自動修正機能とそのデータソース、機能、制限の詳細については、「About autofix for CodeQL code scanning」をご覧ください。

今後の展望

次に予定しているC#とGoなど、今後もさらに多くの言語のサポートを追加していきます。また、自動修正機能のフィードバックとリソースに関するディスカッションに参加して、ご自身の経験を共有するとともに、自動修正のエクスペリエンスのさらなる向上にご協力ください。連携して取り組むことで、「脆弱性の検出が脆弱性の修正を意味する」アプリケーションセキュリティ環境がさらに向上していきます。

各種リソース

さらに理解を深めていただくために、GitHubはCode Scanningの自動修正機能を管理するシステムアーキテクチャ、データフロー、AIポリシーに関する広範なリソースとドキュメントを公開しています。