GitHub、AIでコード脆弱性を自動修正する「Copilot Autofix」を正式リリース 修正時間をどれだけ短縮できる？：GPT-4oも活用

GitHubは、「GitHub Advanced Security」機能の一部として、AIを用いてコード内の脆弱性の迅速な修正を支援する「Copilot Autofix」の一般提供を開始した。

[＠IT]

　GitHubは2024年8月14日（米国時間）、「GitHub Advanced Security」（GHAS）機能の一部として、AI（人工知能）を用いてコード内の脆弱（ぜいじゃく）性の迅速な修正を支援する「Copilot Autofix」の一般提供を開始した。

　GHASは、「GitHub Enterprise Cloud」のエンタープライズアカウントで利用できる。Copilot Autofixは同日から、GHASのコードスキャン設定でデフォルトで有効化された。

Copilot Autofixで短縮できる時間

　プルリクエストでコードスキャンによって脆弱性が検出されると、Copilot Autofixはこれを分析し、問題点の説明と修正コードを生成、提供する。SQLインジェクションやクロスサイトスクリプティングなど、数十種類のコード脆弱性の修正コードを生成することが可能だ。開発者は修正コードをレビュー、編集し、コミットできる。

　開発者はこうしてコードから新しい脆弱性を排除できる。また、既存コードに対してCopilot Autofixを使用して、脆弱性の解消を図ることも可能だ。

　Copilot Autofixによる修正コードの生成は、GitHubのコード分析エンジン「CodeQL」、OpenAIの大規模言語モデル（LLM）「GPT-4o」、AIペアプログラマー「GitHub Copilot」のAPIを利用して行われる。

脆弱性の修正コードを提案するCopilot Autofix（提供：GitHub）

　GitHubによると、2024年5〜7月のパブリックβ期間における顧客データは以下のように、Copilot Autofixが、コード脆弱性の検出から修正までの時間を大幅に短縮することを示している。

• 全体として、開発者がCopilot Autofixを使用して、プルリクエスト時のアラートの修正をコミットするのにかかった時間の中央値は28分で、同じアラートを手動で解決するのにかかった時間は1.5時間だった。Copilot Autofixにより、修正時間は3分の1に短縮されたことになる
• クロスサイトスクリプティングの脆弱性の修正時間は、ほぼ3時間から22分へと7分の1に短縮された
• SQLインジェクションの脆弱性の修正時間は、3.7時間から18分へと12分の1に短縮された

　GitHubは、経験豊富なセキュリティ人材は不足しているが、Copilot Autofixを使用することで、全ての開発者が必要なときにいつでも、セキュリティの専門知識の恩恵を受けられると述べている。

　また、Copilot Autofixによってコード脆弱性の修正時間が大幅に短縮されることは、AIエージェントが安全なソフトウェアの開発作業を根本的に簡素化し、加速させることができることを示す強力な例だとしている。

　なお、GitHubは2024年9月から、全てのオープンソースプロジェクトにCopilot Autofixを無料で提供する。GitHubはオープンソースへの貢献を目的に、これまでもオープンソースのメンテナーに、コードスキャン、シークレットスキャン、依存関係管理、プライベート脆弱性レポートツールといったセキュリティ機能を無料で提供している。