バグにとっては最悪の日です。本日、Sentryが本番環境コードのデバッグ用AI自動修正機能を発表し、その数時間後、GitHubはコーディングプロセス中にセキュリティ脆弱性を発見・修正するためのコードスキャン自動修正機能の最初のベータ版をリリースしました。この新機能は、GitHub Copilotのリアルタイム機能と、同社のセマンティックコード分析エンジンであるCodeQLを組み合わせたものです。GitHubはこの機能を昨年11月に初めてプレビュー公開しました。
GitHubは、この新しいシステムにより、発見された脆弱性の3分の2以上を修正できると約束しています。多くの場合、開発者がコードを編集する必要はありません。また、コードスキャンによる自動修正は、現在サポートしているJavaScript、Typescript、Java、Pythonの言語において、アラートタイプの90%以上をカバーするとしています。
この新機能は、GitHub Advanced Security (GHAS) のすべてのお客様にご利用いただけるようになりました。
GitHubは本日の発表で、「 GitHub Copilotが開発者の面倒で反復的な作業を軽減するのと同様に 、コードスキャンの自動修正機能は、開発チームがこれまで修復に費やしていた時間を取り戻すのに役立ちます」と述べています。「セキュリティチームも、日常的に発生する脆弱性の数が減少することで恩恵を受け、加速する開発ペースに対応しながら、ビジネスを保護するための戦略に集中できるようになります。」
この新機能は、GitHubのセマンティック解析エンジンであるCodeQLエンジンをバックグラウンドで使用し、コードが実行される前であっても脆弱性を検出します。GitHubは、CodeQLの開発元であるコード解析スタートアップ企業Semmleを買収した後、2019年後半にCodeQLの第一世代を一般公開しました。長年にわたり、CodeQLには数々の改良が加えられてきましたが、研究者とオープンソース開発者のみが無料で利用できるという点は変わりませんでした。
この新しいツールの中心にはCodeQLが採用されていますが、GitHubは修正案の提案に「ヒューリスティックスとGitHub Copilot APIの組み合わせ」も使用していると述べています。修正案とその説明を生成するために、GitHubはOpenAIのGPT-4モデルを使用しています。GitHubは自動修正案の大部分が正しいと自信を持って主張していますが、「提案された修正案のごく一部は、コードベースまたは脆弱性に関する重大な誤解を反映している可能性がある」と指摘しています。
GitHubがコード分析ツールSemmleを買収
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
トピック
フレデリックは2012年から2025年までTechCrunchに在籍していました。また、SiliconFilterを設立し、ReadWriteWeb(現ReadWrite)にも寄稿しています。フレデリックは、エンタープライズ、クラウド、開発者ツール、Google、Microsoft、ガジェット、交通機関など、興味のあるあらゆる分野をカバーしています。
バイオを見る
