GitHub：無料のコードセキュリティ評価が数分で脆弱性を発見

GitHubが強力なCodeQLエンジンを使用した静的解析による無料のコードセキュリティリスク評価ツールを公開しました。このツールは組織の最もアクティブな20リポジトリまでを自動的にスキャンし、詳細なレポートを生成します。

ツールが提供するもの

Code Security Risk Assessmentは、以下の観点で分類された脆弱性の概要を提供します：

• 深刻度 — 重大、高、中、低
• プログラミング言語 — 組織内で最も問題が多い言語を特定します
• セキュリティルール — 最も一般的な脆弱性の種類を表示します
• リポジトリ — 最もリスクの高いプロジェクトを明らかにします

このツールはEnterprise CloudおよびTeamプランの組織管理者が利用でき、設定不要で無料のGitHub Actionsの実行時間を使用します。

AI支援による修正の印象的な数字

GitHubは、脆弱性を自動修正するCopilot Autofixツールの統計も公開しました：

• 2025年にCopilot Autofixで460,258件のセキュリティ警告を修正
• 平均修正時間：0.66時間（手動の1.29時間と比較）
• 既存のSecret Risk Assessment（漏洩したシークレットの検出用）を補完するツールです

なぜこれが開発者にとって重要なのか？

コードのセキュリティ負債は、チームが手動で対処できる速度よりも速く蓄積されます。無料のリスク評価ツールにより、組織は最も重要な問題を素早く特定し、脆弱性が本番環境に到達する前に修正の優先順位を付けることができます。