🟡 🛡️ セキュリティ 公開日: · 2 分で読めます ·

GitHub:プルリクエストへのAIセキュリティ検出と、Copilotアプリの/security-reviewコマンド

編集イラスト:AIセキュリティ警告が強調表示されたGitHubプルリクエスト画面と/security-reviewコマンドのCopilotチャットウィンドウ

GitHubはCode ScanningのプルリクエストにAI生成のセキュリティ検出を直接導入し、Copilotアプリにインジェクション・XSS・パストラバーサル・弱い暗号化を分析する新コマンド/security-reviewを追加しました。

🤖

この記事はAIにより一次情報源から生成されました。

SASTとは何か、GitHubはなぜAIをそのプロセスに統合するのか

静的アプリケーションセキュリティテスト(SAST)は、アプリケーションを実行する前、コードをマージする前にソースコードのセキュリティ脆弱性を自動スキャンする手法です。GitHubのCode ScanningはすでにCodeQLを主要SASTツールとして採用していますが、CodeQLがネイティブサポートするプログラミング言語は限られています。新しいAIレイヤーはそのギャップを埋め、CodeQLがこれまでカバーしていなかった言語のセキュリティ分析を提供します。

プルリクエストに直接表示されるAI検出結果

GitHub Code ScanningはプルリクエストのインターフェースにAI生成のセキュリティ検出結果を直接表示するようになりました。各検出結果は AI ラベルで明確にマークされ、開発者が従来のCodeQL検出とAI分析によるものを区別できます。主要な利点はカバレッジです。AI検出はCodeQLがネイティブサポートしていない言語も対象とし、より広いコードベースへセキュリティチェックを拡張します。開発者はマージ前——デプロイ後ではなく介入コストが最小のタイミング——に警告を受け取れます。

Copilotアプリの新コマンド/security-review

Code Scanningの変更と同時に、GitHubはGitHub Copilotチャット画面に /security-reviewコマンド を導入します。ユーザーはコードやファイル全体を選択し、チャットから直接セキュリティ分析を実行できます。システムは4種類の脆弱性を認識します:インジェクション攻撃(SQL・コマンドインジェクション)、クロスサイトスクリプティング(XSS)パストラバーサル弱い暗号化。CI/CDパイプラインで自動実行されるCode Scanningとは異なり、 /security-review は開発者が必要に応じて呼び出すインタラクティブなツールです——例えば他者のコードレビューや機微な部分のリファクタリング時などです。

統合と市場背景

両機能は同日に発表されたGitHubのAI支援セキュリティへの協調的な進出です。比較として、SnykやSemgrepなどの競合他社はすでに静的解析にAIレイヤーを重ねて提供していますが、GitHubのインターフェースに直接統合されることで——追加ツールやライセンスなしに——セキュリティ分析がすべてのGitHub Copilotユーザーに、プロジェクトタイプや言語を問わず利用可能になります。

よくある質問

静的コード解析(SAST/コードスキャン)とは何ですか?
静的コード解析(SAST)は、アプリケーションを実行せずにソースコードのセキュリティ脆弱性を自動検査する手法で、コードをメインブランチにマージする前に実行します。
Copilotアプリの/security-reviewはどのような脆弱性を検出しますか?
/security-reviewコマンドはインジェクション攻撃、クロスサイトスクリプティング(XSS)、パストラバーサル脆弱性、弱い暗号化を分析します。

📬 AIニュースをあなたの受信箱へ

毎日のダイジェストを自分仕様に——トピック、ソース、頻度を選べます。ワンクリックで解除。