今日の開発者は、かつてない速さでソフトウェアをリリースし、新機能を早期かつ頻繁に提供しています。しかし、セキュアなソースコードを書くことに最善を尽くしても、ソフトウェアの脆弱性が意図せず開発中に入り込んでしまうことが、セキュリティ侵害の主な原因となっています（https://www.verizon.com/business/resources/reports/dbir/）。さらに、多くの開発者にとって、セキュリティの必須要件は理解しづらく、実装することが難しいため、セキュリティの観点から望ましい形になることが困難となっています。その結果、より多くの脆弱性が解決されないままリリースされてしまう状況に陥っています。

静的解析のツールは脆弱性を検出できますが、根本的な問題には対処できません。修復にはセキュリティの専門知識と時間が必要ですが、この貴重な2つの要素は決定的に不足しています。つまり、脆弱性を見つけることが問題ではなく、脆弱性を修正する行為が問題であると言えます。

このような状況を解決するための新たなアプローチとして、セキュリティ機能を拡張させるGitHub Advanced Security（GHAS）ライセンスに、AIがコード修正を支援する機能 GitHub Copilot Autofix を追加し、一般提供（GA）を開始しました。Copilot Autofix はコードに含まれる脆弱性を分析し、その重要性を説明するものです。加えて、脆弱性を発見するとすぐに開発者が修正できるようコードの提案を行います。パブリックベータ版のテストでは、開発者がコードの脆弱性を修正する際に、手作業で修正するよりも3倍以上速く修正できたことが判明しました。この結果は、AIエージェントがセキュアなソフトウェア開発を劇的に効率化させ、高速化できることを示す強力な事実となります。また、開発者は、Pull Request で Copilot Autofix を使用し、コードから新たな脆弱性を排除し、既存の脆弱性を修正することで、既存のセキュリティ負債を削減することも可能になります。

新しい脆弱性をコードから排除

2024年3月にパブリックベータ版として発表（https://github.blog/jp/2024-03-28-found-means-fixed-introducing-code-scanning-autofix-powered-by-github-copilot-and-codeql/）されて以降、開発者はPull RequestでCopilot Autofix を使用し、新しいコードの脆弱性を迅速に修正することで、製品コードにマージされることで顧客に影響を与えることを防止することができます。SQLインジェクションやクロスサイトスクリプティングなど、数十種類のコード脆弱性に対して修正が生成できるため、開発者はこれらの修正提案をPull Request内で却下、編集、またはコミットすることができます。
2024年5月から7月までパブリックベータ版を利用したお客様のデータによると、Copilot Autofix は検出から修正までの時間を劇的に短縮しました。


Otto（GmbH & Co KG）社のセキュリティ担当コミュニティマネージャ、マリオ・ランドグラフ氏は、「Copilot Autofixは、煩雑なセキュリティタスクを処理し、既存および新規のコードが可能な限り常にセキュアであることを保証してくれます。脆弱性を含むコードには直ちにフラグが立てられ、コードの変更が自動的に推奨されます。このおかげで、当社のチームは時間を自由に使えるようになり、より戦略的な取り組みに集中できるようになりました」とコメントしています。

Copilot Autofix の使用例

セキュリティの専門家ではない開発者にとって Copilot Autofix は、コードレビュー中にセキュリティチームの専門知識をすぐ手元に置いているかのような存在です。「Copilot Autofix は単に脆弱性にフラグをつけるだけではなく、特定のアクションが必要な理由とその実装方法を説明し、問題解決をより身近なものにしてくれます」とOptum社のクーパー氏は述べています。

Copilot Autofix の仕組みは、CodeQL（https://docs.github.com/ja/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql）エンジン、GPT-4o、および GitHub Copilot APIとヒューリスティックの組み合わせ（https://github.blog/jp/2024-03-25-fixing-security-vulnerabilities-with-ai/）を活用し、コード提案が生成します。Copilot Autofixは、CodeQL分析とフローパス周辺のコードスニペットを含むソースに基づきLLMプロンプトを作成します。

GitHub Enterprise Cloud で GHAS をご利用のお客様は、デフォルトでCopilot Autofix が有効になっています。GHAS 製品にご興味のあるお客様は こちら（https://github.com/enterprise/advanced-security?utm_source=blog&utm_medium=article&ref_loc=bottom&utm_campaign=copilot_agents_ghas）からお問い合わせください。または、GitHub Japan営業およびサポート窓口（jp-sales@github.com）へお問い合わせください。

オープンソースのセキュリティを強化

Copilot Autofix は、プライベートリポジトリの脆弱性の修正に必要な時間と労力を削減するだけでなく、オープンソースの脆弱性にも対応が可能です。Log4j で見られたように、どこかに脆弱性があると、それがすぐにあらゆる場所へと拡大する可能性があります。GitHubは、オープンソースコミュニティのグローバルホームとして、メンテナーが脆弱性を検出し、修正することで、オープンソースソフトウェア（OSS）が誰にとっても、より安全で信頼性の高いものになるよう支援する唯一の場所となっています。GitHubは、オープンソースソフトウェアに関しては責任のある利用者であると同時に、そのコミュニティに貢献することが極めて重要であると強く信じています。そのため、オープンソースのメンテナーは、GitHubのコードスキャン（https://docs.github.com/ja/enterprise-cloud@latest/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning）、シークレットスキャン（https://docs.github.com/ja/enterprise-cloud@latest/code-security/secret-scanning/introduction/about-secret-scanning）、依存関係管理（https://docs.github.com/ja/enterprise-cloud@latest/code-security/supply-chain-security/understanding-your-software-supply-chain/about-supply-chain-security）、脆弱性非公開報告ツール（https://docs.github.com/ja/enterprise-cloud@latest/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/privately-reporting-a-security-vulnerability）を無料で提供しています。また、9月からは、Pull Request における Copilot Autofix をこのリストに加え、すべてのオープンソースプロジェクトへの無料提供を開始します。

迅速な対応と修正

ソフトウェアセキュリティの責任が引き続き開発者の肩に掛かっている一方で、AIエージェントがその負担を大いに軽減できると確信しています。熟練したセキュリティ人材が不足している状況であっても、Copilot Autofix を使用することで、すべての開発者が必要なときにセキュリティの専門知識を享受できます。セキュリティは、ソフトウェア開発と同義のものとなるのです。

今回、新機能を提供したばかりですが、GitHub Copilot Workspace（https://github.blog/jp/2024-04-30-github-copilot-workspace/）からGHASに至るまで、GitHubは単にAIで支援するだけではなく、生産性やイノベーションからセキュリティ、リスク軽減に至るまで、ビジネスを変革する未来を目指しています。GHASでは、AIを活用してコードの脆弱性を修正するだけでなく、シークレットスキャン（https://github.blog/changelog/2024-07-16-secret-scanning-detects-generic-passwords-with-ai-public-beta/）の範囲と精度を向上させ、新たなワークフローで大量のセキュリティ負債を抱える組織にも対応できるようにするために、すべての開発者が慣れ親しんでいるプラットフォーム上で実現しています。

Copilot Autofixにより、”Found means fixed” （脆弱性が見つかることが修正されたことと同じ意味を持つ）というビジョンに一歩近づきました。

GitHub Blog
英語：https://github.blog/news-insights/product-news/secure-code-more-than-three-times-faster-with-copilot-autofix/

日本語：https://github.blog/jp/2024-08-15-secure-code-more-than-three-times-faster-with-copilot-autofix/

GitHubに関する情報は、こちらからもご覧いただけます。
Blog：(英語) https://github.blog (日本語) https://github.blog/jp
X：(英語) @github https://twitter.com/github　　　
(日本語) @GitHubJapan https://twitter.com/githubjapan

【GitHub について】
GitHubは、すべての開発者のためのグローバルなホーム(家)として、安全なソフトウェアの開発、拡張、提供を実現に向け世界有数のAI搭載開発者プラットフォームです。『Fortune 100』(グローバル企業の総収入ランキングトップ100)に名を連ねる90社の開発者を含む1億人以上の人々がGitHubを利用し、4億2,000万以上のリポジトリで素晴らしい共同作業を行っています。GitHubが提供するあらゆるコラボレーション機能により、個人やチームはかつてないほど容易に、より速く、より良いコーディングを実現しています。
GitHub.com（https://github.com/） 　（日本語サイトhttps://github.co.jp）