ニュース

GitHub、脆弱性の検出から修正提案に対応するCode Scanning自動修正機能のパブリックベータ版を提供

 米GitHubは現地時間20日、セキュリティ機能「GitHub Advanced Security」のすべての利用者を対象に、AIによる開発支援機能「GitHub Copilot」と、コードの脆弱性やエラーを特定する「CodeQL」を利用した、「Code Scanning」の自動修正機能のパブリックデータ版を提供開始した。

 Code Scanningの自動修正機能は、JavaScript、TypeScript、Java、Pythonのアラートタイプを90%以上カバーし、検出された脆弱性の3分の2以上のほとんど、あるいはまったく編集することなく修正できるコードを提案するとしている。

 GitHubでは、アプリケーションセキュリティに対するビジョンは、「検出」が「修正」を意味する環境を構築することだと説明。Code Scanningの自動修正機能を使うことで、開発者がコーディング中に脆弱性を容易に修正できることで、組織は「アプリケーションセキュリティ負債」の増加を抑制できるとしている。

 Code Scanningの自動修正機能は、サポート対象言語で脆弱性が検出された場合、修正提案には提案された修正に関する自然言語での説明とコード提案のプレビューが含まれる。開発者はこのコード提案を受け入れて、編集または却下できる。これらのコード提案には、現行ファイルへの変更に加えて、必要に応じて複数のファイルへの変更、プロジェクトに追加すべき依存関係も含まれる。

 GitHubでは今後も、C#やGoなど、さらに多くの言語のサポート追加を予定するとしている。