GitHub Copilot Autofix、脆弱性の発見と修正を同時に行い、3倍速くソースコードをセキュアにする新機能を発表 ～脆弱性が見つかることが修正されたことと同じ！～

AIを活用したソフトウェア開発者プラットフォームとして世界をリードするGitHub, Inc.（本社：米国サンフランシスコ）は2024年8月14日(米国時間)、ソフトウェア開発者やセキュリティチームが新たな脆弱性をソースコードに持ち込むことなく、既存のセキュリティリスクを迅速かつ確実に修正できる新機能 GitHub Copilot Autofix を発表しました。







[画像1]https://digitalpr.jp/simg/1306/93331/700_368_2024081510543166bd5fd744ffc.png





今日の開発者は、かつてない速さでソフトウェアをリリースし、新機能を早期かつ頻繁に提供しています。しかし、セキュアなソースコードを書くことに最善を尽くしても、ソフトウェアの脆弱性が意図せず開発中に入り込んでしまうことが、セキュリティ侵害の主な原因となっています（https://www.verizon.com/business/resources/reports/dbir/
）。さらに、多くの開発者にとって、セキュリティの必須要件は理解しづらく、実装することが難しいため、セキュリティの観点から望ましい形になることが困難となっています。その結果、より多くの脆弱性が解決されないままリリースされてしまう状況に陥っています。

静的解析のツールは脆弱性を検出できますが、根本的な問題には対処できません。修復にはセキュリティの専門知識と時間が必要ですが、この貴重な2つの要素は決定的に不足しています。つまり、脆弱性を見つけることが問題ではなく、脆弱性を修正する行為が問題であると言えます。

このような状況を解決するための新たなアプローチとして、セキュリティ機能を拡張させるGitHub Advanced Security（GHAS）ライセンスに、AIがコード修正を支援する機能 GitHub Copilot Autofix を追加し、一般提供（GA）を開始しました。Copilot Autofix はコードに含まれる脆弱性を分析し、その重要性を説明するものです。加えて、脆弱性を発見するとすぐに開発者が修正できるようコードの提案を行います。パブリックベータ版のテストでは、開発者がコードの脆弱性を修正する際に、手作業で修正するよりも3倍以上速く修正できたことが判明しました。この結果は、AIエージェントがセキュアなソフトウェア開発を劇的に効率化させ、高速化できることを示す強力な事実となります。また、開発者は、Pull Request で Copilot Autofix を使用し、コードから新たな脆弱性を排除し、既存の脆弱性を修正することで、既存のセキュリティ負債を削減することも可能になります。