GitHub、コードの脆弱性を自動的に見つけてCopilotが修正案まで示す「Copilot Autofix」正式サービスに

GitHubは、コードをスキャンして脆弱性を自動的検出し、コードの修正案を示してくれる「Copilot Autofix」機能を正式サービスとして提供開始すると発表しました。

コード分析エンジン「CodeQL」でコードスキャン

Copilot Autofixは、GitHubが開発したコード分析エンジンである「CodeQL」を用いてコードをスキャンし、クロスサイトスクリプティングやSQLインジェクションなどを含むさまざまな脆弱性を検出します。

検出された脆弱性に対しては、Copilotがその説明と修正コードの提案を行い、開発者に提示します。

開発者は提示された内容を確認した上で「Create PR with fix」ボタンを押すと、提示されたコードの変更を含むプルリクエストが作成されます。プルリクエストがマージされれば修正完了です。

Copilot Autofixは過去のコードに対しても適用できるため、これまで埋もれていた脆弱性を発見して修正する作業を非常に効率的に行うことが可能です。

GitHubはこれにより、プルリクエスト中の脆弱性の修正が従来よりも3倍速く、既存のコード中のクロスサイトスクリプティングの修正は7倍速く、SQLインジェクションの修正は12倍速く行えるとしています。

Copilot Autofixは、GitHub Advanced Securityの機能として提供されます。また、オープンソースの開発者には無償で提供されます。