要点
GitHub が、リポジトリ内で機能を実装するサードパーティ製コーディングエージェント(Claude や OpenAI Codex など)に対して、GitHub Copilot と同様の自動セキュリティ検証を適用可能にした。これにより、生成されたコードのリスク軽減が可能となる。
サードパーティ製コーディングエージェントのセキュリティ検証機能は、現在一般利用可能です。GitHub は、リポジトリ内で直接動作し、機能の実装、バグ修正、テストカバレッジの向上を行うサードパーティ製コーディングエージェント(Claude や OpenAI Codex などを含む)をサポートしています。これにより、これらのエージェントによって生成されたコードも、GitHub Copilot クラウドエージェントに対して既に提供されているのと同じ自動セキュリティ検証の対象となります。詳細は、「GitHub Copilot クラウドエージェントのリスクと緩和策」をお読みください。
サードパーティ製コーディングエージェントがリポジトリ内でコードを作成した場合、GitHub は自動的に CodeQL を使用して潜在的なセキュリティ脆弱性を分析し、新たに導入された依存関係を GitHub Advisory Database と照合し、GitHub secret scanning を活用して API キーやトークンなどの機密情報を検出します。分析結果に問題が見つかった場合、エージェントはプルリクエストを確定する前にその解決を試みます。
2025 年 10 月に Copilot クラウドエージェント向けの自動コード検証機能をリリースしてから、数百件の潜在的なセキュリティ漏洩や脆弱性を事前に防止してきました。この保護機能をサードパーティ製エージェントにも拡張することで、どのコーディングエージェントが記述したかにかかわらず、エージェント生成のすべてのコード行が同じセキュリティチェックを受けることを確実にします。
これらのセキュリティ検証はデフォルトで有効になっており、使用する検証ツールの設定はリポジトリの Copilot 設定に従います。すでに Copilot クラウドエージェントに対してセキュリティ検証を有効化している場合、サードパーティ製エージェントも自動的に同じ保護を受けられます。セキュリティ検証には GitHub Advanced Security のライセンスは不要です。詳細については「エージェント設定の設定」をご覧ください。
この投稿「サードパーティ製コーディングエージェント向けのセキュリティ検証」は、最初に The GitHub Blog で公開されました。