GitHub: MCP サーバーを通じたシークレットスキャンが GA リリース——AI エージェントがコミット前に認証情報を検出

GitHub は 5 月 5 日、GitHub MCP サーバーを通じたシークレットスキャンの一般提供（GA）を発表しました——これは AI コーディングエージェントがコードがリポジトリに届く前に露出した認証情報を検出できるツールです。

MCP（モデルコンテキストプロトコル）は、AI エージェントと言語モデルが標準化された方法で外部ツールとデータを呼び出せるオープンプロトコルです。シークレットスキャンは、コード中に露出した API キー、パスワード、証明書、その他の認証情報の検出です。

このツールは実際にどのように機能しますか？

統合は MCP 対応の IDE および Copilot CLI と連携します：開発者またはエージェントは「Scan my current changes for exposed secrets」のようなコマンドで変更のスキャンをリクエストし、修正が必要なファイルと行のリストを取得できます。

スキャンはコミット前に行われ、開発サイクルの左側にセキュリティコントロールを移動します（シフトレフト）——認証情報は、削除がより困難な Git 履歴に入る前にローカルで止められます。

GA バージョンの新機能は何ですか？

新しい GA バージョンは、リポジトリおよび組織レベルのプッシュ保護カスタマイゼーション設定を尊重します。つまり、どのタイプのシークレットを書き込んでよいか、または書き込んではいけないかについての企業ポリシーが、エージェントがスキャンを実行する際にも適用され、手動とエージェントのワークフロー間の不整合を避けられます。

同時に他に何が発表されましたか？

同日、MCP サーバーを通じた依存関係スキャンもパブリックプレビューとして公開されました——GitHub Advisory Database と統合された依存関係の脆弱性スキャンです。開発チームは自然言語を通じて使用しているパッケージに関連する CVE の概要を確認できます。

両ツールは合わせて、開発の早い段階での AI 支援コーディングワークフローをより安全にし、MCP が単なるコード生成チャネルではなく、エージェント開発ツールの標準的なセキュリティ拡張になりつつあることを示しています。