GitHub、「自組織のセキュリティ態勢の捉え方を変える」無料のスキャン機能を提供開始:脆弱性は静かに蓄積し、問題が発生するまで検出されない
GitHubは、組織内のコードに潜む脆弱性をワンクリックで可視化する無料スキャン機能「Code Security Risk Assessment」を発表した。ライセンスや設定が不要で、数分で結果を得られる。
GitHubは2026年4月14日(米国時間)、組織内のコードに潜む脆弱(ぜいじゃく)性を可視化する無料スキャン機能「Code Security Risk Assessment」を発表した。セキュリティレビューが十分に行われないまま脆弱性が蓄積しがちな組織のコードベースに対し、ワンクリックで脆弱性の概況を把握できるようにする。
脆弱性は静かに蓄積し、問題が発生するまで検出されない
多くのセキュリティ責任者は「自社のコードベースに未知の脆弱性が存在するのではないか」という懸念を共有している。大半のコードは十分なセキュリティレビューを経ておらず、脆弱性は言語やチームをまたいで活発なリポジトリ内に静かに蓄積し、問題が発生するまで検出されないことが多い。手動レビューや範囲の限定されたツールに依存している場合、想定以上にギャップが広がっている可能性があるという。
Code Security Risk Assessmentはライセンス不要、設定不要、契約不要で、組織のコードに潜む脆弱性を明らかにする。GitHub組織の管理者とセキュリティマネジャーが利用できる。
Code Security Risk Assessmentの機能
Code Security Risk Assessmentは、GitHubの静的解析エンジン「CodeQL」を用いて、組織内で最もアクティブなリポジトリを最大20件までスキャンし、結果をダッシュボードに要約する。ダッシュボードで確認できる情報は次の通り。
- スキャン対象リポジトリで検出された脆弱性の総数
重大(critical)、高(high)、中(medium)、低(low)の深刻度別に分類 - 言語別の脆弱性件数
コードベースのどの部分にリスクが集中しているかを把握できる - 検出されたルール
見つかったセキュリティ問題の具体的な分類、影響を受けるリポジトリ数、深刻度を表示 - 最も脆弱性の多いリポジトリ
優先的に修正すべき箇所を特定できる - 「Copilot Autofix」の適用可能性
GitHubのAIを活用したコード修正ツールCopilot Autofixで自動修正できる脆弱性の件数
Code Security Risk Assessmentは、「GitHub Enterprise Cloud」プランと「GitHub Team」プランの組織管理者およびセキュリティマネジャーが利用できる。ライセンス料は発生せず、スキャンに使われる「GitHub Actions」の実行時間もプランのクォータ(割り当て)には計上されないとしている。
「Secret Risk Assessment」と統合し、組織のセキュリティ態勢を一元把握
GitHubは、既に漏えいしたシークレット(認証情報や秘密鍵)の露出度を可視化する「Secret Risk Assessment」機能を提供している。同社によると、2025年中にシークレット漏えい防止機能「GitHub Secret Protection」を利用する顧客は約20億回のプッシュをスキャンし、1900万件のシークレットの露出をブロックしたという。
今回のCode Security Risk Assessmentは、同じ思想をソースコードの脆弱性に適用したもの。両アセスメントは単一の入り口から実行でき、タブ切り替え式のインタフェースでシークレット露出とコード脆弱性の検出結果を行き来できる。シークレットとコードの両面から、組織のセキュリティ態勢(セキュリティポスチャ)を数分で統合的に把握できるとしている。
スキャン自体を担当しない立場の読者でも、アセスメント結果はチーム内でリスクの所在と優先すべき対応を擦り合わせる材料として活用できる。対応段階では、シークレット漏えいにはGitHub Secret Protection、脆弱性の検出には「GitHub Code Security」がそれぞれ対応するサービスとして用意されている。
検出から修正までのギャップをCopilot Autofixで埋める
脆弱性の所在を把握することは最初の一歩に過ぎず、リスクを低減するにはコードの修正が必要になる。GitHubは2025年の実績として次の数値を示している。
- Copilot Autofixを使って46万258件のセキュリティアラートが修正された
- 脆弱性アラートの50%が、開発者が作業中のプルリクエスト(PR)内で直接解決された
- 平均修正時間はCopilot Autofixを使った場合0.66時間で、手動修正の1.29時間と比べてほぼ2倍の速さだった
Code Security Risk Assessmentの結果画面では「検出した脆弱性のうち、どれがCopilot Autofixの対象となるか」が表示され、「どの程度の速度でリスク低減に着手できるか」を具体的に把握できるという。結果画面からワンクリックでGitHub Code Securityを有効化できる。
GitHubは、セキュリティスキャンを全く導入していない組織、既存ツールを評価中の組織、組織横断でリスクを俯瞰(ふかん)したい組織のいずれにもCode Security Risk Assessmentは対応するとしている。無料で、所要時間は数分であり、その結果が自組織のセキュリティ態勢の捉え方を変える可能性があるとアピールしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「コードを公開されたくなければ支払え」 Grafana Labs侵害で見えた新恐喝モデル
開発基盤そのものが“侵入口”になる――。Grafana Labsで発生したGitHub認証情報漏えいは、コード窃取や恐喝だけでは終わらない危うさを浮き彫りにした。攻撃者はどのように開発フローへ入り込み、なぜ非公開リポジトリーまで到達できたのか。
GitHub侵害で銀行連携停止 マネーフォワード事案が突き付ける開発リスク
マネーフォワードは認証情報漏えいによるGitHubへの不正アクセスを受け、ソースコードや一部個人情報が流出したと公表した。銀行連携機能まで一時停止に追い込まれた今回の事案は、開発現場に潜む見落とされがちなリスクを浮き彫りにしている。
HashiCorp創業者のミッチェル・ハシモト氏「GitHubはもはや真剣に仕事に取り組める場所ではなくなった」 “決別”宣言に大きな反響
HashiCorpの創業者として知られるミッチェル・ハシモト氏が、連日発生している不具合を理由に主要プロジェクトを「GitHub」から完全に移行させると発表した。この発表が開発者コミュニティーの間で大きな反響を呼んでいる。
「もう開発者はシークレットを使うな」 GitHubが「今日できる」4つのセキュリティ対策を紹介
GitHubは、オープンソースソフトウェアを狙う攻撃が新たなパターンに移行していると報告した。サイバー攻撃はAPIキーなどのシークレットを起点とする形に移行しているという。
VS Code使いは要注意 GitHub経由で送られる「悪意あるリポジトリ」を見分けるポイント
Jamf Threat Labsは、北朝鮮に関連するとされる脅威アクターが悪意あるGitリポジトリを送付する手法を分析した結果を公開した。偽の採用プロセスを装って開発者を標的にしているという。