「AIが駆動する改善」：GitHubがコードの脆弱性に対する「Copilot Autofix」提案を提供

InfoWorldによると、Microsoft傘下のGitHubは、AIを活用したソフトウェア脆弱性修正サービス「Copilot Autofix」を発表した。 この機能はGitHub Advanced Security（GHAS）サービスの一部として水曜日に利用可能になった。"Copilot Autofixはコード内の脆弱性を分析し、それがなぜ問題なのかを説明し、開発者が脆弱性を発見するとすぐに修正できるようなコード提案を提供する "とGitHubは発表で述べている。 GitHub Enterprise CloudのGHAS顧客は、すでにCopilot Autofixがサブスクリプションに含まれている。 GitHubはGHASのコードスキャン設定で、これらの顧客に対してCopilot Autofixをデフォルトで有効にしている。 9月からは、オープンソースプロジェクトへのプルリクエストでCopilot Autofixが無料で提供される。 3月に始まったパブリックベータでは、Copilot Autofixを使用する開発者が手作業で修正する開発者に比べて3倍以上の速さでコードの脆弱性を修正していることがGitHubで確認され、Copilot AutofixのようなAIエージェントがソフトウェア開発を根本的に簡素化し、高速化できることが実証された。"Copilot Autofixを導入して以来、セキュリティ関連のコードレビューに費やす時間が60%削減され、開発全体の生産性が25%向上した "とGitHubの発表で引用されたある主任エンジニアは述べている。 この発表では、Copilot Autofixが「CodeQLエンジン、GPT-4o、ヒューリスティックとGitHub Copilot APIの組み合わせを活用している」とも述べている。コード・スキャン・ツールは脆弱性を検出するが、根本的な問題には対処していない。修正にはセキュリティの専門知識と時間が必要で、この2つの貴重なリソースは決定的に不足している。 言い換えれば、脆弱性を見つけることが問題なのではない。 修正することが問題なのだ。 開発者は、プル・リクエストでCopilot Autofixを使用することで、新しい脆弱性をコードから排除することができます。 SQLインジェクションやクロスサイト・スクリプティングなど、何十ものクラスのコードの脆弱性に対して修正プログラムを生成することができ、開発者はプル・リクエストで修正プログラムを却下、編集、コミットすることができる。 必ずしもセキュリティの専門家ではない開発者にとって、Copilot Autofixは、コードをレビューしている間、セキュリティチームの専門知識を指先で利用できるようなものです。 オープンソースコミュニティのグローバルな本拠地として、GitHubは、オープンソースソフトウェアが誰にとってもより安全で信頼性の高いものとなるよう、メンテナが脆弱性を検出して修正するのを支援するユニークな立場にあります。 私たちは、オープンソースソフトウェアの責任ある消費者であると同時に、オープンソースソフトウェアに還元する貢献者であることが非常に重要であると確信しています。そのため、オープンソースのメンテナは、GitHubのコードスキャン、シークレットスキャン、依存関係管理、プライベート脆弱性レポートツールを無料で利用することができます。 9月から、Copilot Autofixをプルリクエストに追加し、すべてのオープンソースプロジェクトに無料で提供できることをうれしく思います。 ソフトウェア・セキュリティの責任は依然として開発者の肩にかかっていますが、AIエージェントがその負担の多くを軽減してくれると信じています。 Copilot Autofixによって、脆弱性の発見が脆弱性の修正を意味するというビジョンに一歩近づきました。