GitHub Copilot CLIがターミナルを離れずに脆弱性をスキャンする/security-reviewコマンドを追加
GitHubはCopilot CLIに専用の/security-reviewコマンドをパブリックプレビューとして導入した。これはDependabotやコードスキャンなどの既存ツールとは独立して機能する実験的ツールで、ターミナル内でローカルのコード変更に対してセキュリティ脆弱性をスキャンする。コマンドは深刻度評価と修正提案を備えた11カテゴリーの脆弱性をカバーする。
この記事はAIにより一次情報源から生成されました。
GitHubは2026年6月10日、Copilot CLI(command-line interface、コマンドラインインターフェース)に専用コマンド**/security-review**をパブリックプレビュー(public preview)として実験的機能で発表した。目的は明確だ。開発者がターミナルを離れることなく自身のコード変更をセキュリティ脆弱性についてスキャンできるようにすること。
新しい/security-reviewコマンドは何をもたらすか?
コマンドはローカルのコード変更を分析し、深刻度(severity)と確信度(confidence)でランク付けされた発見をすぐに適用できる修正提案とともに提供する。プロセス全体がターミナル内で完結——ブラウザやウェブインターフェースを開く必要がない。
有効化にはCopilot CLIの実験的モードを有効にする必要がある。その後/security-reviewは現在のローカル変更を分析するすべてのプロジェクトで利用可能になる。
コマンドがカバーする11カテゴリーの脆弱性
コマンドは11カテゴリーの脆弱性をスキャンする。
- インジェクション攻撃(injection flaws)— SQL、コマンド、LDAPインジェクション
- XSS攻撃(cross-site scripting)— ウェブインターフェースへのスクリプト注入
- 不適切なアクセス制御(broken access control)
- パストラバーサル(path traversal)— 意図されたディレクトリ外へのファイルへの不正アクセス
- SSRF(Server-Side Request Forgery)— サーバーに望ましくないリクエストを強制する
- 安全でないデシリアライゼーション(insecure deserialization)
- プロトタイプ汚染(prototype pollution)— JavaScriptのプロトタイプチェーンの操作
- 弱い暗号化(weak cryptography)
- ハードコードされた資格情報(hardcoded credentials)
- 機密データ漏洩(sensitive data leaks)
- サプライチェーンリスク(supply-chain risks)— バージョン固定されていない依存関係(unpinned dependencies)
現代の開発に特徴的な1カテゴリーを特筆する価値がある。コマンドは言語モデルを統合するコードに固有の脆弱性の一種として**クロスプロンプトインジェクション(XPIA)**を認識しており、アプリケーション内のAIコンポーネントの増加を反映している。
既存のセキュリティツールとは独立して動作
/security-reviewはGitHubの3つの既存セキュリティメカニズムとは独立して動作する。
- コードスキャン — CI/CDプロセスに統合された静的コード解析
- Dependabot — セキュリティアップデートのための自動プルリクエスト
- シークレットスキャン — リポジトリ内のシークレットキーとパスワードの検出
これらの代替ではない。オンデマンドの軽量チェックツール(on-demand)だ。既存ツールがプッシュごとにリポジトリに対して自動的に動作する一方、/security-reviewはコードをサーバーに送る前に——コードを書いているその瞬間に——ローカルで変更を確認したい開発者向けに設計されている。
コードを書くこととセキュリティの間の摩擦を減らす
セキュリティスキャンをターミナルに直接統合することで、コードを書くことと脆弱性の発見の間の摩擦が減る。自動CIスキャンを待ったり外部ツールを手動で起動したりする代わりに、開発者は最も意味のある瞬間に/security-reviewを呼び出せる——関連する変更を書いた直後、コンテキストがまだ新鮮で修正が最もコストが低いときに。
コマンドは実験的モードを有効にしたすべてのGitHub Copilotユーザーが利用可能だ。GitHubはGitHub Communityディスカッションを通じてフィードバックを収集している。プレビュー段階の実験的機能として、スキャンのスコープと精度は事前予告なしに変更される可能性がある。
よくある質問
- GitHub Copilot CLIの/security-reviewコマンドは何をするのか?
- コマンドはターミナル内で開発環境を離れることなく、ローカルのコード変更をセキュリティ脆弱性についてスキャンする。結果は深刻度と確信度でランク付けされ、すぐに適用できる修正提案とともに提示される。
- /security-reviewがカバーする脆弱性カテゴリーはどれか?
- コマンドは11カテゴリーをカバーする:インジェクション攻撃、XSS、不適切なアクセス制御、パストラバーサル、SSRF、安全でないデシリアライゼーション、プロトタイプ汚染、弱い暗号化、ハードコードされた資格情報、データ漏洩、バージョン固定されていない依存関係によるサプライチェーンリスク。
- /security-reviewはDependabotとコードスキャンの代替になるか?
- なれない——コマンドはオンデマンドの軽量チェックのための補完ツールだ。Dependabot、コードスキャン、シークレットスキャンとは独立して動作し、コードをプッシュする前にすぐにローカルの変更を確認したい開発者向けに設計されている。
📬 AIニュースをあなたの受信箱へ
毎日のダイジェストを自分仕様に——トピック、ソース、頻度を選べます。ワンクリックで解除。