出典:GitHub公式
詳細を読む
GitHubは、公開リポジトリ向けにGitHub Advanced Security(GHAS)の主要機能を無料提供しており、開発者がコード内の脆弱性を早期に発見・修正できる環境を整備しています。対象機能はシークレットスキャン、Dependabot、コードスキャン、Copilot Autofixの4つです。
シークレットスキャンは、誤ってコミットされたAPIキーやトークンを自動検出する機能です。検出されたシークレットはセキュリティタブに警告として表示され、開発者は発行元プラットフォームで鍵を失効させることで対処します。漏洩の早期発見により、悪用リスクを最小限に抑えられます。
Dependabotは、プロジェクトが依存するサードパーティライブラリの脆弱性を監視します。たとえ自分で書いていないコードでも、インポートした時点でそのリスクを引き継ぐため、小規模なプロジェクトでも対策が不可欠です。脆弱性が見つかると自動でプルリクエストが作成されます。
CodeQLは一般的なリンターとは異なり、コード内のデータフローを解析して入力の起点と到達先を追跡します。これにより、単純なパターンマッチでは見逃される複雑な脆弱性パターンも検出でき、修正方法の推奨や具体例も合わせて提示されます。
検出された脆弱性に対してはCopilot Autofixが修正パッチを自動生成し、開発者はレビュー後にワンクリックでプルリクエストを作成できます。最終的な判断は開発者が行うため、AIによる自動化と人間の制御を両立した安全なワークフローが実現されています。