GitHub、Dependabot alertをAI coding agentに割り当て可能に
Original: Dependabot alerts are now assignable to AI agents for remediation View original →
GitHubは2026年4月7日、Dependabot alertをAI coding agentに直接割り当ててremediationを進められる機能を発表した。Dependabot alert detail pageからAssign to Agentを選べば、Copilot、Claude、Codexなどのcoding agentに対応を任せられる。GitHubによれば、agentはadvisoryとrepositoryでのdependency usageを解析し、修正案を含むdraft pull requestを開き、updateによって生じたtest failureの解決も試みる。
この機能が狙うのは、software supply chain securityで繰り返し発生する「version bumpだけでは直らない脆弱性」だ。大きなversion upgradeはAPIの互換性を壊したり、deprecated methodを生み、type signatureの不整合を起こしたりする。その結果、dependencyの更新だけでなくapplication codeの修正も必要になる。GitHubは、Dependabotがpackage updateを担い、coding agentがrepository固有のcode changeを補う構図を示している。
agentが担う仕事
GitHubは複数のagentを同じalertに同時に割り当てることも認めている。各agentは独立して動き、それぞれdraft PRを開くため、チームは同じsecurity issueに対する複数の修正方針を比較できる。GitHubはまた、malware混入やcompromiseでpatched versionがない場合に、agentが最後に安全だったreleaseへのdowngradeを手伝うシナリオも想定している。
ただしGitHubは、AI-generated fixは必ずしも正しいとは限らないと明記した。pull requestのレビュー、testの成功確認、修正内容の妥当性確認は人間が行う必要がある。利用にはGitHub Code Securityとcoding agent accessを含むCopilot planが必要で、github.comで提供される。この発表は、AIがcode generationだけでなくsupply-chain remediationの領域へも入ってきたことを示す一方、最終的な責任と判断はhuman reviewに残される。
Related Articles
GitHubはAI coding agentがcommitやpull requestの前にGitHub MCP Server経由でsecret scanningを呼び出せるようになったと発表した。この機能はGitHub Secret Protectionを有効にしたrepository向けにpublic previewで提供される。
GitHubは2026-03-09、GitHub Actions上でAgentic Workflowsをどのように隔離し制御するかを詳しく説明した。agentを信頼済みの自動化ではなく、制約前提の非決定的な実行主体として扱っている点が中核だ。
約300ポイントを集めたHNの議論は、secretが漏れなかった事実よりも実験条件が現実のリスクをどこまで表すかに向かった。