GitHub、「Copilot Autofix」一般提供–AIでコードの脆弱性を検出・説明して修正提案

今回は「GitHub、「Copilot Autofix」一般提供–AIでコードの脆弱性を検出・説明して修正提案」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 GitHubは米国時間 8月14日、「Copilot Autofix」の一般提供を「GitHub Advanced Security(GHAS)」で開始したと発表した。

 ソフトウェアは、以前に比べて短期間で出荷され、新しい機能が早期に数多くリリースされるようになった。安全なコードの開発に多くの努力が向けられても、脆弱(ぜいじゃく)性は本番環境に紛れ込み、侵害の主な理由となり続けているとGitHubは述べる。さらに、多くの開発者は、セキュリティ要件を理解と実装が困難なものと捉えており、優れたセキュリティ上の成果を得るのは容易でなく、さらなる脆弱性が野に放たれるという結果的になっているという。

 「コードスキャニングツールは、脆弱性を検出するが、根本的な問題を解決しない。修正にはセキュリティに関する専門知識と時間が必要で、2つの貴重なリソースが極めて不足している。言い換えれば、問題は脆弱性の検出ではなく、その修正にある」(同社)

 Copilot Autofixは、AIを活用し、コード内の脆弱(ぜいじゃく)性の分析、問題となる理由の説明、迅速な修正を支援するコードの提案を提供する。プルリクエストでコードから新たな脆弱性を排除するとともに、既存の脆弱性に対する修正も生成する。

 SQLインジェクションやクロスサイトスクリプティングといった数十種類にわたるコード脆弱性に対応しており、プルリクエスト内で却下、修正、コミットすることが可能。コードの提案には、「CodeQL」エンジン、「GPT-4o」、ヒューリスティックと「GitHub Copilot API」の組み合わせたものを使用する。CodeQL分析とフローバス周辺のコードの短い断片といったソースを基にすることで、大規模言語モデル(LLM)を使ったプロンプトを構築するという。

 3月にパブリックベータ版が公開されて以来、Copilot Autofixはプルリクエストで使われ、新しいコード内にある脆弱性が本番環境にマージされて顧客に影響を与える前に迅速な修正を支援してきた。5〜7月のデータから、検出から修正完了までの時間を大幅に短縮されていることが明らかになっている。

 Copilot Autofixを使った場合、プルリクエスト時アラートに対して修正を自動的にコミットするまでの時間は、中央値で28分だった。手動で対応した場合の1.5時間に比べて3倍早かった。同様に、クロスサイトスクリプティングの脆弱性では22分で、手動で対応した場合の約3時間に比べて7倍は早く、SQLインジェクションの脆弱性では18分で、手動で対応した場合の3.7時間に比べて12倍早かったという。

 GitHub Copilotは、コード作成を高速化するとともに修正のペースも上げるので、未処理となっている既存の脆弱性の解消を進めることができるGitHubは説明する。このような脆弱性はセキュリティ負債と知られている。

 既存の脆弱性についてCopilot Autofixを使用するには、GHASの「Code scanning」のアラートで「Generate fix」ボタンをクリックする。コードと脆弱性を評価し、レビュー用に説明とコードの提案を表示する。「Create PR with fix」ボタンを押すと、アラートを修正するために必要なコードの変更を含む新しいプルリクエストが作成される。優先的に対応しづらい低・中程度の深刻さを持つアラートであっても積年のセキュリティ負債が数クリックで解消できると同社はアピールする。

 オープンソースソフトウェアに対して責任ある利用者であるとともに貢献者でもあることは非常に重要だとGitHubは考える。そのため、9月から、プルリクエストでのCopilot Autofixの利用を全オープンソースプロジェクトに対して無料で可能にする。同社は、Code scanningや「Secret scanning」「プライベート脆弱性レポート」ツールなどをオープンソースメンテナーが無料で利用できるようにしてきた。

 ソフトウェアセキュリティの責任は開発者にあり続けるが、AIエージェントがその負荷軽減に役立つと同社。経験豊富なセキュリティ人材は不足しているが、Copilot Autofixを使うことで、セキュリティの専門知識を必要な時に活用することができるため、セキュリティはソフトウェア開発と同じ意味を持つようになるという。

元記事: https://japan.zdnet.com/article/35222740/
IT関連 #ソフトウェア

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
「生成AIが企業価値の底上げに」–ワークデイ、製品ロードマップを公開
IT関連
2024-06-01 08:57
「JPタワー大阪」に無人決済店舗が開店–オフィスワーカーの時短ニーズに応える
IT関連
2024-05-10 20:15
ポーラ・オルビスグループ、「invox」で経理業務を効率化–法対応もスムーズに実現
IT関連
2024-09-27 08:44
マルチクラウド環境におけるセキュリティの死角に目を配るには
IT関連
2021-07-30 12:58
お魚サブスク「フィシュル」で魚の食品ロス削減を目指すベンナーズが3200万円調達、サービス認知拡大目指す
IT関連
2022-01-19 17:48
高橋留美子さん公式Twitterアカウント開設 「ネット弱者の私に代わって担当編集が」
くらテク
2021-06-02 10:41
マイクロソフトの新アプリReading Progressは教師、子どもの読解能力の評価を楽にするアプリ
EdTech
2021-05-06 15:27
「ChatGPT」のプログラミングの実力–主要12言語でコードを書かせてみた
IT関連
2023-05-04 19:55
ワタミ、食事宅配事業で統合コマース基盤「ecforce」を導入–サイト運営の効率化へ
IT関連
2023-10-26 00:09
IT企業の目指すヒントは総合商社にあり
IT関連
2021-02-12 19:37
極域の観測網構築に向けた、安価な汎用ドローンによる高精度気象観測を実現
IT関連
2022-01-26 19:16
KDDI、IoT向け冗長化サービスを発表—大規模通信障害を踏まえ対処
IT関連
2022-11-26 19:38
[速報]ChatGPTを組み込んだ「Microsoft 365 Copilot」は月額30ドルの追加料金で提供。マイクロソフトが発表。Inspire 2023
Microsoft
2023-07-19 00:25
ビジネスとデータの“出会いの場”実現を目指す–MCデジタル・リアルティ畠山社長
IT関連
2025-01-09 11:48