GitHub Copilot Autofix、脆弱性の発見と修正を同時に行い、3倍速くソースコードをセキュアにする新機能を発表 ～脆弱性が見つかることが修正されたことと同じ！～

Copilot Autofix が既存のアラートの修正を生成するデモ動画（https://github.blog/wp-content/uploads/2024/08/CopilotAutofix_Existing-Alerts_Blog_001.mp4#t=0.001
）

Otto（GmbH & Co KG）社のセキュリティ担当コミュニティマネージャ、マリオ・ランドグラフ氏は、「Copilot Autofixは、煩雑なセキュリティタスクを処理し、既存および新規のコードが可能な限り常にセキュアであることを保証してくれます。脆弱性を含むコードには直ちにフラグが立てられ、コードの変更が自動的に推奨されます。このおかげで、当社のチームは時間を自由に使えるようになり、より戦略的な取り組みに集中できるようになりました」とコメントしています。

Copilot Autofix の使用例

セキュリティの専門家ではない開発者にとって Copilot Autofix は、コードレビュー中にセキュリティチームの専門知識をすぐ手元に置いているかのような存在です。「Copilot Autofix は単に脆弱性にフラグをつけるだけではなく、特定のアクションが必要な理由とその実装方法を説明し、問題解決をより身近なものにしてくれます」とOptum社のクーパー氏は述べています。


https://www.youtube.com/watch?v=WiBB8Lsgl7I


Copilot Autofix の仕組みは、CodeQL（https://docs.github.com/ja/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql
）エンジン、GPT-4o、および GitHub Copilot APIとヒューリスティックの組み合わせ（https://github.blog/jp/2024-03-25-fixing-security-vulnerabilities-with-ai/
）を活用し、コード提案が生成します。Copilot Autofixは、CodeQL分析とフローパス周辺のコードスニペットを含むソースに基づきLLMプロンプトを作成します。

GitHub Enterprise Cloud で GHAS をご利用のお客様は、デフォルトでCopilot Autofix が有効になっています。GHAS 製品にご興味のあるお客様は こちら（https://github.com/enterprise/advanced-security?utm_source=blog&utm_medium=article&ref_loc=bottom&utm_campaign=copilot_agents_ghas
）からお問い合わせください。または、GitHub Japan営業およびサポート窓口（jp-sales@github.com）へお問い合わせください。