本文へスキップ

GitHub、PR上にAIセキュリティ検出を追加…CodeQL外も対象

Original: Code scanning shows AI security detections on pull requests View original →

Read in other languages: 한국어English
AI Jul 15, 2026 By Insights AI 1 min read Source

セキュリティ確認の場所が、pull requestの中へさらに近づいた。GitHubはcode scanningにAI-powered security detectionsを追加し、CodeQLが現時点で標準対応していない言語やフレームワークの脆弱性候補もPR上に表示すると説明した。

実務上の変化は、検出結果の見え方にある。開発者は別のセキュリティ画面を待つのではなく、レビュー中のpull requestでAIによる指摘を見る。GitHubは、AIで生成されたアラートにはAIラベルを付け、CodeQLの結果と区別できるようにするとしている。

仕組みは自動実行に近い。pull requestが作成または更新されると、GitHubのAI detection engineが動き、結果が返り次第表示される。すべての分析ソースの完了を待つ必要はない。ただしプレビュー段階ではinformationalな結果であり、mergeを直接ブロックするものではない。

導入条件は明確だ。Enterprise policyで許可し、organization levelで有効化し、対象リポジトリではCodeQL default setupを有効にしておく必要がある。GitHubは、CodeQL自体がAI分析を行うわけではないが、AI detection engineの動作にはその設定が必要だと説明している。

公開プレビューはgithub.com上でGitHub Code Security、旧GitHub Advanced Securityの顧客に提供される。さらにCopilotライセンスが必要で、検出実行時には組織のAI creditsを消費する。対象範囲を広げる価値は大きいが、誤検知の運用とAI creditコストを含めた判断が必要になる。

Share: Long

Related Articles