🟡 🛡️ セキュリティ 公開日: · 4 分で読めます ·

GitHub:コード自動セキュリティ検証をサードパーティエージェントに拡大

編集イラスト:GitHubのサードパーティエージェント向けコード自動セキュリティ検証

GitHubはコード自動セキュリティ検証をサードパーティコーディングエージェント(ClaudeやOpenAI Codexなど)に拡大する。2025年10月にCopilotクラウドエージェントに導入済みの3つの保護機能(CodeQL・Advisoryデータベース・シークレットスキャン)がデフォルトで有効になり、Advanced Securityライセンスは不要。

🤖

この記事はAIにより一次情報源から生成されました。

GitHubは2026年6月9日、プラットフォームと連携するすべてのサードパーティコーディングエージェントへのコード自動セキュリティ検証拡大を発表した。これまでGitHub Copilotクラウドエージェント専用だったこの保護機能が、ユーザーリポジトリにプルリクエストを開く外部エージェント——Anthropic ClaudeOpenAI Codexを含む——にも適用されるようになった。

背景:Copilotクラウドエージェントは2025年10月に保護機能を取得済み

GitHubが生成コードの自動セキュリティ検証を初めて導入したのは2025年10月で、当時は自社のCopilotクラウドエージェント専用だった。導入後8ヶ月間で、この保護機能はGitHubによるとユーザーのリポジトリで数百件の潜在的なセキュリティ問題と脆弱性を事前に防止した

その間にも、GitHub APIを通じて統合されるサードパーティエージェントのエコシステムは急速に成長した。開発チームは自律的にコードを書き・変更をコミットし・プルリクエストを開く外部エージェントをますます利用するようになった。この動向により明確なギャップが生まれた:Copilotのコードはスキャンされるが、同じリポジトリと同じワークフローを通過する外部エージェントのコードはスキャンされていなかった。

サードパーティエージェントが生成コードに対して自動実行するセキュリティチェックは?

サードパーティエージェントが生成したコードをGitHubリポジトリに送るすべてのプルリクエストは、3つの自動化されたセキュリティステップを経る:

CodeQL脆弱性スキャン GitHubの静的コード解析ツールが生成コードを精査し、SQLインジェクション・クロスサイトスクリプティング・安全でないファイル操作など、プログラミング言語に応じた既知の脆弱性パターンを検出する。CodeQLはテキストパターンだけでなくコードの意味を理解するため、単純な正規表現チェックより誤検知率が低い。

Advisoryデータベースによる依存関係チェック 新規または変更されたすべての依存関係がGitHub Advisory Database——オープンソースパッケージの既知脆弱性(CVE記録)のデータベース——と自動的に照合される。エージェントがアクティブな脆弱性を持つパッケージを導入した場合、チェックが即座にフラグを立て、問題が解決されるまでプルリクエストの確定をブロックする。

シークレットスキャン 生成コード全体をスキャンし、誤ってコードに紛れ込んだAPIキー・OAuthトークン・パスワードその他の機密情報を検出する。この対策は設定ファイルやコードサンプルを自動生成するエージェントで特に重要だ——これらは意図しないシークレット漏洩の一般的な原因となっている。

発見された問題へのエージェントの対応

検証はパッシブなレポートに留まらない——エージェントのワークフローに統合されている。脆弱性・問題のある依存関係・公開シークレットが検出された場合、エージェントはプルリクエストを確定する前に自動的に問題の解決を試みる。これには脆弱なパッケージのより安全なバージョンへの置き換え・公開されたキーの削除・CodeQLの推奨に基づくコードの調整が含まれる場合がある。

自動解決が不可能な場合のみ、問題は開発チームへエスカレーションされ手動対応が必要となる。このアプローチにより、相当数のセキュリティ修正がエージェントのワークフロー内に留まる——脆弱性がコードレビューや修正コストが高くなる後期の開発フェーズに持ち込まれない。

特別なライセンス不要

この拡張はデフォルトで有効になっており、管理者がリポジトリ向けにすでに設定したCopilot設定に従う。手動での有効化・各エージェントへの個別設定・サブスクリプションプランのアップグレードは不要だ。

重要な点:機能する保護機能はGitHub Advanced Securityライセンスを必要としない。すべてのユーザーに追加費用なしで利用可能で、Enterpriseプランの高度なセキュリティツールにアクセスできない小規模チームやオープンソースプロジェクトにとって特に重要だ。

どのチェックを有効にするか——または特定のエージェントを検証から除外するか——を細かく調整したい組織は、GitHubのエージェント設定(「Configuring agent settings」)のドキュメントに記載された設定から行える。


すべてのエージェントへのセキュリティ検証拡大により、GitHubはどのAIモデルやエージェントがコードを生成するかに依存しない一貫したセキュリティレイヤーを構築している。CI/CDワークフローに外部エージェントを採用し始めた開発チームにとって、このアップグレードは同一の保護基準がワークフロー全体をカバーすることを意味する——自動的に、追加費用なし、手動設定なしで。

よくある質問

サードパーティエージェントが生成したコードに対してGitHubが自動実行するセキュリティチェックは何ですか?
3つのチェックがあります:コードの脆弱性に対するCodeQL静的解析、既知のCVEに対するGitHub Advisory Databaseを使った依存関係チェック、そして生成コード内の公開されたAPIキーやトークンを検出するシークレットスキャンです。
この保護機能を有効にするためにGitHub Advanced Securityライセンスは必要ですか?
不要です。検証はすべてのユーザーに追加費用なしで提供され、リポジトリの既存のCopilot設定に従ってデフォルトで有効になっています。
エージェントが生成したコードにセキュリティ問題が検出された場合はどうなりますか?
エージェントはプルリクエストを確定する前に自動的に問題の解決を試みます。解決できない場合のみ、開発チームに手動対応のためにエスカレーションされます。

📬 AIニュースをあなたの受信箱へ

毎日のダイジェストを自分仕様に——トピック、ソース、頻度を選べます。ワンクリックで解除。