GitHub、「Copilot Autofix」一般提供–AIでコードの脆弱性を検出・説明して修正提案

今回は「GitHub、「Copilot Autofix」一般提供–AIでコードの脆弱性を検出・説明して修正提案」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 GitHubは米国時間 8月14日、「Copilot Autofix」の一般提供を「GitHub Advanced Security(GHAS)」で開始したと発表した。

 ソフトウェアは、以前に比べて短期間で出荷され、新しい機能が早期に数多くリリースされるようになった。安全なコードの開発に多くの努力が向けられても、脆弱(ぜいじゃく)性は本番環境に紛れ込み、侵害の主な理由となり続けているとGitHubは述べる。さらに、多くの開発者は、セキュリティ要件を理解と実装が困難なものと捉えており、優れたセキュリティ上の成果を得るのは容易でなく、さらなる脆弱性が野に放たれるという結果的になっているという。

 「コードスキャニングツールは、脆弱性を検出するが、根本的な問題を解決しない。修正にはセキュリティに関する専門知識と時間が必要で、2つの貴重なリソースが極めて不足している。言い換えれば、問題は脆弱性の検出ではなく、その修正にある」(同社)

 Copilot Autofixは、AIを活用し、コード内の脆弱(ぜいじゃく)性の分析、問題となる理由の説明、迅速な修正を支援するコードの提案を提供する。プルリクエストでコードから新たな脆弱性を排除するとともに、既存の脆弱性に対する修正も生成する。

 SQLインジェクションやクロスサイトスクリプティングといった数十種類にわたるコード脆弱性に対応しており、プルリクエスト内で却下、修正、コミットすることが可能。コードの提案には、「CodeQL」エンジン、「GPT-4o」、ヒューリスティックと「GitHub Copilot API」の組み合わせたものを使用する。CodeQL分析とフローバス周辺のコードの短い断片といったソースを基にすることで、大規模言語モデル(LLM)を使ったプロンプトを構築するという。

 3月にパブリックベータ版が公開されて以来、Copilot Autofixはプルリクエストで使われ、新しいコード内にある脆弱性が本番環境にマージされて顧客に影響を与える前に迅速な修正を支援してきた。5〜7月のデータから、検出から修正完了までの時間を大幅に短縮されていることが明らかになっている。

 Copilot Autofixを使った場合、プルリクエスト時アラートに対して修正を自動的にコミットするまでの時間は、中央値で28分だった。手動で対応した場合の1.5時間に比べて3倍早かった。同様に、クロスサイトスクリプティングの脆弱性では22分で、手動で対応した場合の約3時間に比べて7倍は早く、SQLインジェクションの脆弱性では18分で、手動で対応した場合の3.7時間に比べて12倍早かったという。

 GitHub Copilotは、コード作成を高速化するとともに修正のペースも上げるので、未処理となっている既存の脆弱性の解消を進めることができるGitHubは説明する。このような脆弱性はセキュリティ負債と知られている。

 既存の脆弱性についてCopilot Autofixを使用するには、GHASの「Code scanning」のアラートで「Generate fix」ボタンをクリックする。コードと脆弱性を評価し、レビュー用に説明とコードの提案を表示する。「Create PR with fix」ボタンを押すと、アラートを修正するために必要なコードの変更を含む新しいプルリクエストが作成される。優先的に対応しづらい低・中程度の深刻さを持つアラートであっても積年のセキュリティ負債が数クリックで解消できると同社はアピールする。

 オープンソースソフトウェアに対して責任ある利用者であるとともに貢献者でもあることは非常に重要だとGitHubは考える。そのため、9月から、プルリクエストでのCopilot Autofixの利用を全オープンソースプロジェクトに対して無料で可能にする。同社は、Code scanningや「Secret scanning」「プライベート脆弱性レポート」ツールなどをオープンソースメンテナーが無料で利用できるようにしてきた。

 ソフトウェアセキュリティの責任は開発者にあり続けるが、AIエージェントがその負荷軽減に役立つと同社。経験豊富なセキュリティ人材は不足しているが、Copilot Autofixを使うことで、セキュリティの専門知識を必要な時に活用することができるため、セキュリティはソフトウェア開発と同じ意味を持つようになるという。

元記事: https://japan.zdnet.com/article/35222740/
IT関連 #ソフトウェア

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Amazon.com、巣ごもり需要による大幅増収増益で過去最高に
企業・業界動向
2021-02-04 01:16
日立建機、基幹システム基盤をOCIで刷新–IT部門の運用管理負荷を軽減
IT関連
2024-06-30 03:07
ハッカー集団「APT42」の活動、背後にイラン政府か–Mandiantのレポート
IT関連
2022-09-10 07:27
「macOS」デバイスのストレージを最適化して空き容量を増やすには
IT関連
2023-09-20 10:33
「物流の2024年問題」迫るも、帳票類の授受は紙多数–インフォマート調査
IT関連
2023-12-14 05:31
AWS、第3世代「AMD EPYC」搭載EC2インスタンス「C6a」–コンピュート集約型ワークロード向け
IT関連
2022-02-17 22:51
「Chrome」に新たなゼロデイ脆弱性、グーグルが修正–「Edge」にも影響
IT関連
2024-05-18 20:22
「遺伝的アルゴリズムで作ったエッチ画像」がNFTオークションに 現在の価格は約7万2500円
くわしく
2021-04-03 07:37
高機能なポッドキャスト録音プラットフォームRiverside.fmが約10億円調達
ソフトウェア
2021-04-26 21:08
JavaScriptランタイム「Bun」が約9億円を調達、「Oven」社を設立。ホスティングやCIサービスなど計画
Bun
2022-08-29 09:28
個人向け「Microsoft Defender」、提供開始–Mac、iOS、Androidにも対応
IT関連
2022-06-21 00:19
練馬区の大規模停電、復旧から1日経過も原因分からず 東電「明らかな機器の故障はない」
ネットトピック
2021-08-08 00:24
「アニメとコミックとゲーム」好きのためのバーチャルソーシャルアプリ「MEW」が米国でコミックファンを魅了
IT関連
2022-03-14 13:46
マイクロソフト、「Copilot Connectors」発表。CSVファイルからOracle、Salesforceなどさまざまなサービスやデータソースと接続しAIが理解
Microsoft
2024-05-23 12:30