GitHubは米国時間3月20日、「Code scanning autofix」のパブリックベータ版を「GitHub Advanced Security」ユーザーに提供した。
同機能は、「JavaScript」「Typescript」「Java」「Python」で90%以上のアラートタイプに対応し、コード提案を表示する。コード提案は、編集をほとんど、または、全く必要とせず、検知された脆弱(ぜいじゃく)性の3分の2以上を修正するという。
アプリケーションセキュリティに関するGitHubのビジョンは、発見すなわち修正を意味する環境にあると同社は述べる。GitHub Advanced Securityにて開発者体験を優先させることで、従来のセキュリティツールに比べて7倍の速さで修正できるように支援しているという。Code scanning autofixは、次なる大きな一歩として、開発者が修正に費やしている時間と労力を大幅に減らすことを支援するとGitHubはアピールする。
アプリケーションは依然として主要な攻撃ベクトルであるが、ほとんどの組織は未対応の脆弱性数が本番リポジトリー内で増え続けていることを認めていると同社は語る。Code scanning autofixは、コーディング時に脆弱性の修正を容易にすることで、このような「アプリケーションセキュリティ負債」の増加を遅らせるという。
同機能により、サポートされた言語で脆弱性が検知されるとコード提案が表示される。コード提案には、承認、編集、却下が可能なプレビューとともに自然言語による説明が含まれる。また、現在のファイルに対する変更に加え、複数ファイルへの変更やプロジェクトに追加すべき依存関係を含むこともできる。
提供:GitHub
Code scanning autofixは、「CodeQL」エンジンに加え、ヒューリスティックと「GitHub Copilot API」の組み合わせを活用することでコード提案を生成すると同社は説明する。サポートする言語を今後も増やす予定であり、「C#」と「Go」を追加するという。
