AIによるAIの修正は可能か GitHub Copilot Autofixから見えてくるAIの新たな課題:ソフトウェアデリバリーがAIの悪影響にさらされる?
TechTargetは「GitHub Copilot Autofixから見る、AIの信頼度」に関する記事を公開した。AIによって生成されるコード量の多さによってソフトウェアデリバリープロセスが窮地に陥っている。こうした状況では、GitHubの「Copilot Autofix」による脆弱性管理が役立つ可能性がある。だが、AIを制するのにAIを信頼してもよいのだろうか。
TechTargetは2024年10月29日(米国時間)、「GitHub Copilot Autofixから見る、AI(人工知能)の信頼度」に関する記事を公開した。AIによるコード自動生成は、コーディングの生産性を高めるとされる。しかし、安全なソフトウェアのデリバリー速度が向上するとは言い切れない状況だ。この課題に対応するため、「GitHub Copilot Autofix」のようなAIを活用したソフトウェア脆弱(ぜいじゃく)性検知ツールは機能を強化している。だが、こうしたツールの利用にも課題はある。
コードへの脆弱性の混入を防ぐCopilot Autofix
Copilot Autofixは2024年8月にAdvanced Security利用者向けに一般提供され、同年9月には全てのリポジトリに利用できるようになった。リポジトリ内のコードをスキャンしてセキュリティの脆弱性を検出し、開発者にその重要性を説明した上で修正案を提示するものだ。Copilot Autofixは2024年10月に新たに2つの機能をパブリックプレビューとして追加した。それは、セキュリティ負債のバックログを消化する「セキュリティキャンペーン」と、「ESLint」やJFrogの静的アプリケーションセキュリティテスト(SAST)、Black Duckの「Polaris」といった外部のコードスキャンツールとの統合だ。
IDCのアナリスト、ケイティ・ノートン氏によれば、組織は自動化された脆弱性修正を「コーディング中」と「セキュリティ負債の削減」の2段階で利用する必要があるという。
「Copilot Autofixはコーディング中における脆弱性の導入を削減する手助けをし、セキュリティキャンペーンはセキュリティ負債の削減を支援する。現行の自動修正ツールはどちらか一方に特化していることが多いため、Copilot Autofixの2つの新機能は企業にとって有益だと言える」(ケイティ・ノートン氏)
2024年10月現在、セキュリティキャンペーンは主にGitHubの「CodeQL」による脆弱性スキャンとSASTの結果に焦点を当てているが、今後はGitHubの「Dependabot」によるオープンソースの脆弱性や依存関係も含むように拡張されるのではないか、とノートン氏は期待しているという。他のソースコード解析ツールとしては、Endor Labsの「Endor Open Source」がある。これは依存関係のモデリングや脆弱なパッケージのアップグレードの影響を分析するものだ。
「セキュリティの自動アップデート機能は幾つか存在するが、AIを活用するAutofixとDependabotとの統合がより緊密になり、インテリジェント性が高まることを期待している」(ケイティ・ノートン氏)
ノートン氏の予測を裏付けるかのように、GitHubは2024年10月下旬にDependabot向けのCopilot Autofixのプライベートプレビュー版をリリースした。GitHubの変更ログによるとこの新機能によって、TypeScriptリポジトリでDependabotが作成したプルリクエストにおいて、依存関係のアップグレードが原因で発生するプログラムの動作に大きな影響を与えるような変更を、AIを使って自動的に修正できるようになったという。
AIがソフトウェアデリバリーに与える悪影響
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- AIは「作る」から「使う」へ New Relicが考える「企業が効果的に生成AIを使う方法」
生成AI(人工知能)がさまざまな業界で普及が進んでおり、今では企業のビジネスを成長させる上で無視できない存在になっている。ただ、その進化のスピードは速く、どのように活用していけばよいのか迷う企業も多いだろう。本稿では「Cloud Operator Days Tokyo 2024」のセミナーを基に、急激に進化する生成AIと企業の関わり方について解説する。 - AIコーディングの主なセキュリティリスクと対処法
生成AIコーディングアシスタントは、ソフトウェアエンジニアのアプリケーション開発に革命をもたらしそうだが、新しい技術には固有のリスクが伴う。ITリーダーは、AIコーディングアシスタントに関連するさまざまなリスクと軽減戦略を理解する必要がある。 - 「Gemini in Android Studio」AIによる開発支援機能をアップデート プロンプトによるコーディングは当たり前、それ以外は何が便利になる?
Googleは、「Android Studio」のAIベースのコーディング支援機能「Gemini in Android Studio」のアップデートを発表した。この機能のリリース以来最大のアップデートだとしている。