GitHub、LLM文脈検証でsecret scanningの誤検知75.76%減を示すセキュリティ運用改善

GitHubのsecret scanningは、より多くの通知ではなく、信頼できる通知を増やす方向へ進んでいる。GitHubはXの投稿で「reduce false positives by 75.76%」と述べ、リンク先のGitHub Blog記事では、この結果が顧客確認済みの誤検知アラート数百件を対象にした評価から得られたと説明している。

ポイントは、リポジトリ全体をLLMに渡すことではない。GitHubは候補となるsecretがコード内でどう使われているかを示す高信号の文脈を抽出する。値が変数に入り、その後APIリクエスト、認証ヘッダー、データベースクライアント、クラウドSDK呼び出しに渡されるなら、単にトークンらしく見える文字列よりも判断材料が多い。これにより、実際の漏えい候補と、プレースホルダー、テストデータ、UUIDのようなノイズを分けやすくなる。

GitHubの公式アカウントは開発者プラットフォームとセキュリティ機能の更新を頻繁に扱っており、今回の内容はMicrosoft Security & AIのAgents Offenseチームとの協業に基づく。ブログでは、既存のpattern-based detectionとAI-based detectionが候補を作り、LLMによる文脈推論が検証段階で高信頼アラートを選別する流れとして説明されている。

GitHubの目標は65%削減だったが、結果は75.76%に達した。次の焦点は本番規模での安定性だ。より大きなデータセットや実トラフィックでも同じ精度が維持されるなら、セキュリティチームは低価値なアラート処理を減らし、本当の認証情報漏えいに時間を使えるようになる。