GitHub、PR上にAIセキュリティ検出を追加…CodeQL外も対象
Original: Code scanning shows AI security detections on pull requests View original →
セキュリティ確認の場所が、pull requestの中へさらに近づいた。GitHubはcode scanningにAI-powered security detectionsを追加し、CodeQLが現時点で標準対応していない言語やフレームワークの脆弱性候補もPR上に表示すると説明した。
実務上の変化は、検出結果の見え方にある。開発者は別のセキュリティ画面を待つのではなく、レビュー中のpull requestでAIによる指摘を見る。GitHubは、AIで生成されたアラートにはAIラベルを付け、CodeQLの結果と区別できるようにするとしている。
仕組みは自動実行に近い。pull requestが作成または更新されると、GitHubのAI detection engineが動き、結果が返り次第表示される。すべての分析ソースの完了を待つ必要はない。ただしプレビュー段階ではinformationalな結果であり、mergeを直接ブロックするものではない。
導入条件は明確だ。Enterprise policyで許可し、organization levelで有効化し、対象リポジトリではCodeQL default setupを有効にしておく必要がある。GitHubは、CodeQL自体がAI分析を行うわけではないが、AI detection engineの動作にはその設定が必要だと説明している。
公開プレビューはgithub.com上でGitHub Code Security、旧GitHub Advanced Securityの顧客に提供される。さらにCopilotライセンスが必要で、検出実行時には組織のAI creditsを消費する。対象範囲を広げる価値は大きいが、誤検知の運用とAI creditコストを含めた判断が必要になる。
Related Articles
公開Issueに埋め込んだ指示がprivate repositoryへのアクセスにつながる可能性が示され、HNではagent権限の切り方が論点になった。
Dependabotは、通常のバージョン更新PRを開く前に、新リリースがregistry上で少なくとも3日経過するまで待つ標準設定を入れた。security updatesは即時のままで、cooldown設定により期間変更や無効化もできる。
セキュリティ通知は量より信頼性が問われている。GitHubは、LLMによる文脈検証でsecret scanningの誤検知を75.76%減らし、目標の65%を上回ったとしている。