AIによるAIの修正は可能か GitHub Copilot Autofixから見えてくるAIの新たな課題：ソフトウェアデリバリーがAIの悪影響にさらされる？

TechTargetは「GitHub Copilot Autofixから見る、AIの信頼度」に関する記事を公開した。AIによって生成されるコード量の多さによってソフトウェアデリバリープロセスが窮地に陥っている。こうした状況では、GitHubの「Copilot Autofix」による脆弱性管理が役立つ可能性がある。だが、AIを制するのにAIを信頼してもよいのだろうか。

[Beth Pariseau，＠IT]

　TechTargetは2024年10月29日（米国時間）、「GitHub Copilot Autofixから見る、AI（人工知能）の信頼度」に関する記事を公開した。AIによるコード自動生成は、コーディングの生産性を高めるとされる。しかし、安全なソフトウェアのデリバリー速度が向上するとは言い切れない状況だ。この課題に対応するため、「GitHub Copilot Autofix」のようなAIを活用したソフトウェア脆弱（ぜいじゃく）性検知ツールは機能を強化している。だが、こうしたツールの利用にも課題はある。

ソフトウェアデリバリーがAIの悪影響にさらされる中拡大される「GitHub Copilot Autofix」（提供：TechTarget）

コードへの脆弱性の混入を防ぐCopilot Autofix

　Copilot Autofixは2024年8月にAdvanced Security利用者向けに一般提供され、同年9月には全てのリポジトリに利用できるようになった。リポジトリ内のコードをスキャンしてセキュリティの脆弱性を検出し、開発者にその重要性を説明した上で修正案を提示するものだ。Copilot Autofixは2024年10月に新たに2つの機能をパブリックプレビューとして追加した。それは、セキュリティ負債のバックログを消化する「セキュリティキャンペーン」と、「ESLint」やJFrogの静的アプリケーションセキュリティテスト（SAST）、Black Duckの「Polaris」といった外部のコードスキャンツールとの統合だ。

　IDCのアナリスト、ケイティ・ノートン氏によれば、組織は自動化された脆弱性修正を「コーディング中」と「セキュリティ負債の削減」の2段階で利用する必要があるという。

　「Copilot Autofixはコーディング中における脆弱性の導入を削減する手助けをし、セキュリティキャンペーンはセキュリティ負債の削減を支援する。現行の自動修正ツールはどちらか一方に特化していることが多いため、Copilot Autofixの2つの新機能は企業にとって有益だと言える」（ケイティ・ノートン氏）

　2024年10月現在、セキュリティキャンペーンは主にGitHubの「CodeQL」による脆弱性スキャンとSASTの結果に焦点を当てているが、今後はGitHubの「Dependabot」によるオープンソースの脆弱性や依存関係も含むように拡張されるのではないか、とノートン氏は期待しているという。他のソースコード解析ツールとしては、Endor Labsの「Endor Open Source」がある。これは依存関係のモデリングや脆弱なパッケージのアップグレードの影響を分析するものだ。

　「セキュリティの自動アップデート機能は幾つか存在するが、AIを活用するAutofixとDependabotとの統合がより緊密になり、インテリジェント性が高まることを期待している」（ケイティ・ノートン氏）

　ノートン氏の予測を裏付けるかのように、GitHubは2024年10月下旬にDependabot向けのCopilot Autofixのプライベートプレビュー版をリリースした。GitHubの変更ログによるとこの新機能によって、TypeScriptリポジトリでDependabotが作成したプルリクエストにおいて、依存関係のアップグレードが原因で発生するプログラムの動作に大きな影響を与えるような変更を、AIを使って自動的に修正できるようになったという。

AIがソフトウェアデリバリーに与える悪影響