GitHub、コードの脆弱性を発見後に修正コードまで自動生成してくれる「Code scanning autofix」発表
この記事は新野淳一氏のブログ「Publickey」に掲載された「[速報]GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023」(2023年11月10日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。
米GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビュー公開となりました。
Copilotには以前からコードの脆弱性を発見する「GitHub Advanced Security」と呼ばれる機能が備わっていました。
これはXSS(クロスサイトスクリプティング)などのコードのロジックなどの潜在的な脆弱性や、漏洩すると大きな事故を引き起こすシークレットがコード内に含まれていないか、などをチェックしてくれる機能です。
今回発表された「Code scanning autofix 」は、コード内に発見された脆弱性を修正するコードまで生成してくれる機能です。
下記はデモで示されたその様子です。
まず、コードの中に脆弱性が発見され、その通知が表示されました。
そしてCode scanning autofix機能によって、修正コードが示されました。
確認後、右下の「Commit fix」をクリックすれば修正内容の反映が行われます。
また、パターンによる検出にとどまらず、AIによってコード内のシークレットを検出してくれるシークレットスキャン機能もプレビュー公開されました。
関連記事
GitHub、コードの脆弱性を自動検出する「Code Scanning」正式公開
コードのセキュリティ脆弱性を自動検出できる「GitHub Code Scanning」が正式公開。ソースコードをスキャンし、脆弱性やエラーが見つかると、Pull Requestで修正を促す。
GitLabがGoogle Cloudと提携 AI機能の提供加速 コードの自動生成、コードにある脆弱性の説明など
米GitLabがGoogle CloudとAI分野で提携。Google Cloudが提供するAI機能の「Vertex AI」などにより、GitLabのツール群にAIによる開発者の支援機能を組み込んでいく方針を明かした。
Google、セキュリティスキャナー「Tsunami」をオープンソースで公開 ポートスキャンなどで脆弱性を自動検出
Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開。アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱性を発見してくれるツール。今後Tsunamiをさらに拡張し、遠隔からのコード実行などに対応する予定。- Winnyの脆弱性は深刻、リモートからのコード実行につながる――eEyeがアドバイザリ
米eEye Digital Securityが公開した「Winny」の脆弱性に関するアドバイザリによると、この脆弱性はリモートからのコード実行につながる深刻なものだという。 
GitHub Copilotに新機能 開発中のコードとパブリックリポジトリのコードがある程度一致したら教えてくれる「code referencing」
米GitHubが、「GitHub Copilot」の新機能を発表。コードがGitHubで公開されているいずれかのパブリックリポジトリのコードと150文字程度が一致した場合に教えてくれる「code referencing」をパブリックβとして提供する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。