GitHub、Code Scanningの自動修正機能のパブリックベータ版の提供を開始 ~GitHub CopilotとCodeQLと利用し、脆弱性の検出から修正提案に対応~
Digital PR Platform2024年3月28日(木)11時5分
AIを活用したソフトウェア開発者プラットフォームとして世界をリードするGitHub, Inc.(本社:米国サンフランシスコ)は、2024年3月20日(米国時間)、GitHub Advanced Security( https://github.com/enterprise/advanced-security
)のすべての利用者を対象に、GitHub CopilotとCodeQL( https://docs.github.com/ja/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql
)を利用したCode Scanningの自動修正機能のパブリックデータ版の提供を開始しました。
[画像1]https://digitalpr.jp/simg/1306/85514/700_368_202403271727206603d8681f240.jpg
Code Scanningの自動修正機能は、JavaScript、TypeScript、Java、Pythonのアラートタイプを90%以上カバーし、検出された脆弱性の ⅔ 以上のほとんど、あるいはまったく編集することなく修正できるコードを提案します。
脆弱性の検出から修正提案まで
アプリケーションセキュリティに対するGitHubのビジョンは、「検出」が「修正」を意味する環境を構築することです。GitHubは、GitHub Advanced Securityでの開発者エクスペリエンスを優先事項としており、開発者チームは既に従来のセキュリティツールより7倍も迅速に修正可能になっています。Code Scanningの自動修正機能は、次なる飛躍的な進歩であり、開発者が修正に費やす時間と労力を大幅に削減できるよう支援します。
[画像2]https://digitalpr.jp/simg/1306/85514/650_468_2024032614294966025d4d09199.png
アプリケーションが依然として主要な攻撃ベクトルであるにも関わらず、多くの組織は、本番環境のリポジトリに存在する未修正の脆弱性の数が増え続けていることを認めています。Code Scanningの自動修正機能を使うことで、開発者がコーディング中に脆弱性を容易に修正できることで、組織は「アプリケーションセキュリティ負債」の増加を抑制できるようになります。
GitHub Copilot( https://github.com/features/copilot
)が開発者を煩雑な反復作業から解放するように、Code Scanningの自動修正機能によって、開発チームはこれまで修復に費やしていた時間を取り戻すことができます。さらに、セキュリティチームにとっても、日常的な脆弱性の量が減ることで、加速し続けるソフトウェアの開発ペースに対応しながらビジネスを保護するための戦略に集中することが可能になります。
Code Scanningの自動修正機能の仕組み
サポート対象言語で脆弱性が検出された場合、修正提案には提案された修正に関する自然言語での説明とコード提案のプレビューが含まれます。開発者はこのコード提案を受け入れて編集、または却下することができます。これらのコード提案には、現行ファイルへの変更に加えて、必要に応じて複数のファイルへの変更、プロジェクトに追加すべき依存関係も含まれます。
https://www.youtube.com/watch?v=lm9a9R9P6uc
Code Scanningの自動修正機能の仕組みについて詳しく知りたい方は、「セキュリティの脆弱性をAIで修正する」( https://github.blog/jp/2024-03-25-fixing-security-vulnerabilities-with-ai
)をご確認ください。
Code Scanningの自動修正機能は、裏側でCodeQL エンジン、ヒューリスティックとGitHub Copilot APIを組み合わせることによってコード提案を生成します。自動修正機能とそのデータソース、機能、制限の詳細については、「About autofix for CodeQL code scanning」( https://docs.github.com/ja/code-security/code-scanning/managing-code-scanning-alerts/about-autofix-for-codeql-code-scanning#about-autofix-for-codeql-code-scanning
)をご確認ください。
今後の展望
今後も、C#とGoなどさらに多くの言語のサポートを追加を予定してます。
各種リソース
さらに理解を深めていただくために、GitHubはCode Scanningの自動修正機能を管理するシステムアーキテクチャ、データフロー、AIポリシーに関する広範なリソースとドキュメントを公開しています。
Changelog: Code ScanningがプルリクエストのCodeQLアラートに対してAIを活用した自動修正を提案するように(ベータ版)( https://github.blog/changelog/2024-03-20-code-scanning-now-suggests-ai-powered-autofixes-for-codeql-alerts-in-pull-request-beta/
)
エンジニアリングブログ:AIによるセキュリティ脆弱性の修正( https://github.blog/2024-02-14-fixing-security-vulnerabilities-with-ai/
)
ドキュメント:CodeQL コード スキャンの自動修正について( https://docs.github.com/ja/code-security/code-scanning/managing-code-scanning-alerts/about-autofix-for-codeql-code-scanning
)
ディスカッション:自動修正機能のフィードバックとリソース( https://github.com/orgs/community/discussions/111094
)
GitHub Blog
英語:https://github.blog/2024-03-20-found-means-fixed-introducing-code-scanning-autofix-powered-by-github-copilot-and-codeql/
日本語:https://github.blog/jp/2024-03-28-found-means-fixed-introducing-code-scanning-autofix-powered-by-github-copilot-and-codeql/
GitHubに関する情報は、こちらからもご覧いただけます。
Blog: (英語) https://github.blog
(日本語) https://github.blog/jp
X: (英語) @github( https://twitter.com/github
)
(日本語) @GitHubJapan( https://twitter.com/githubjapan
)
【GitHub について】
GitHubは、すべての開発者のためのグローバルなホーム(家)として、安全なソフトウェアの開発、拡張、提供を実現に向け世界有数のAI搭載開発者プラットフォームです。『Fortune 100』(グローバル企業の総収入ランキングトップ100)に名を連ねる90社の開発者を含む1億人以上の人々がGitHubを利用し、4億2,000万以上のリポジトリで素晴らしい共同作業を行っています。GitHubが提供するあらゆるコラボレーション機能により、個人やチームはかつてないほど容易に、より速く、より良いコーディングを実現しています。
GitHub.com( https://github.com/
) (日本語サイト https://github.co.jp
)
Copyright(C)Digital PR Platform All Rights Reserved.
「GitHub」をもっと詳しく
「GitHub」のニュース
-
窓辺の小石 第164回 未踏のマルチタスク5月3日12時10分
-
GitHub Copilot Workspaceのテクニカルプレビューを提供開始 〜自然言語でアイディアからコード、ソフトウェアまでを作成し、開発者エクスペリエンスを再定義〜4月30日12時7分
-
GitHub、コードのブレストから実行までを補佐する「Copilot Workspace」プレビュー4月30日11時5分
-
GitHubの開発者環境を向上させる「Copilot Workspace」を提供開始4月30日1時0分
-
Microsoft、社内に残っていなかったMS-DOS 4.0を各者と協力しオープンソースに4月26日10時47分
-
GitHub、2FAで数百万人の開発者の安全を担保4月25日11時22分
-
株式会社オルターブースは、GitHubアカウント管理支援を開始いたします!Copilot導入や、ご請求方法の管理など、企業様に特化したサービスです。4月23日14時46分
-
オープンソースのCMS「Joomla 5.1」正式版4月19日16時54分
-
GitHub、2024年3月に発生したサービス低下の原因と対応を報告4月18日10時52分
-
OpenAI、言語モデル評価のためのベンチマークツール「simple-evals」4月15日15時44分