GitHubが新機能「Copilot Autofix」の提供を開始 ソースコードの脆弱性検出を高速化：セキュリティニュースアラート

GitHubは開発者がセキュリティリスクを迅速かつ効率的に修正できるよう支援する「Copilot Autofix」を公開した。このAI機能は脆弱性を検出し、自動で修正案を提案する。

[後藤大地，有限会社オングス]

　GitHubは2024年8月15日（現地時間）、AIを活用した新機能「GitHub Copilot Autofix」（以下、Copilot Autofix）の一般提供を開始した。

ソースコードの脆弱性検出を高速化　修正までの時間を大幅に短縮

　この新機能は、ソフトウェア開発者やセキュリティチームがセキュリティリスクを迅速かつ効率的に修正することを目的に設計されており、開発速度の向上によって増加するソースコードの脆弱（ぜいじゃく）性に対処する。この機能はコードの問題を検出し、適切な修正案を自動で提案する。

　近年、開発速度の向上とともにソースコードに脆弱性が含まれるリスクも増加している。脆弱性はリリース後に侵害の原因となるため、迅速な修正が必要となる。しかし多くの開発者はセキュリティに関する知識が不足しており、脆弱性の修正にすぐに対応できない現状がある。従来の静的解析ツールは脆弱性を検出できるが、修復に必要とされるセキュリティの専門知識と時間が十分ではないという問題があった。

　この問題に対処するためGitHubはCopilot Autofixの一般提供を開始した。Copilot Autofixにはコードの脆弱性を検出するとともに、その修正案を自動で提案する機能が備わっている。パブリックβ版のテストでは手動での修正に比べて3倍以上速く修正できたことが確認されており、AIエージェントによるセキュリティ開発の効率化が実証されている。

　Pull Requestでこの機能を使用することで、SQLインジェクションやクロスサイトスクリプティングなど数十種類の脆弱性に対応できる。パブリックβ版を利用したユーザーのデータによると修正までの時間が大幅に短縮されており、例えばクロスサイトスクリプティングの修正は手動だと約3時間かかるところ、Copilot Autofixを使えばわずか22分で修正できたことが確認された。

　GitHubによると、Copilot Autofixはセキュリティ負債の削減にも貢献するという。開発者がしばらく見ていないコードやなじみのないコードの修正を試みる場合に通常は数時間を要するが、Copilot Autofixを使用すれば数クリックで修正が完了する。さらにオープンソースの脆弱性に対応することを目的に、2024年9月から全てのオープンソースプロジェクトに無償で提供される予定だ。

　GitHubは、Copilot Autofixの導入によって全ての開発者が迅速にセキュリティ修正を実施できるようになり、”Found means fixed”（脆弱性が見つかることが修正されたことと同じ意味を持つ）というビジョンに近づいていると強調している。