DependabotアラートをAIエージェントに割り当てて修正可能に
GitHubはDependabotアラートをCopilot、Claude、CodexなどのAIコーディングエージェントに割り当てて脆弱性を分析し、修正案を含むドラフトプルリクエストを自動生成できる新機能を発表した。
キーポイント
AIエージェントへのアラート割り当て
Dependabotアラート詳細ページからAIコーディングエージェント(Copilot、Claude、Codex)を選択して割り当て可能。複数エージェントを同時に割り当てて異なるアプローチを比較できる。
複雑な依存関係更新の自動対応
単純なバージョンアップでは解決できない破壊的変更、パッケージダウングレード、複雑なプルリクエスト生成などのケースでAIエージェントがコード変更を提案する。
Dependabotとの連携強化
Dependabotが自動的に依存関係を最新化し、AIエージェントがより深い分析を必要とする修正を担当するという補完的な関係を構築。
出力のレビュー必要性の強調
AI生成の修正案は常に正しいとは限らず、不完全なパッチや新たな問題を導入する可能性があるため、プルリクエストのレビューとテスト確認が必須とされている。
影響分析・編集コメントを表示
影響分析
この機能は、ソフトウェア開発におけるセキュリティ脆弱性修正プロセスを自動化する重要な進展であり、AI支援開発ツールの実用化が一歩前進したことを示している。開発者の生産性向上とセキュリティ対応の迅速化が期待される一方、AI生成コードの信頼性確保という課題も明確に浮き彫りにしている。
編集コメント
AIコーディングツールが単なるコード補完から、セキュリティ脆弱性修正という実務的な課題解決に本格参入した転換点となるニュース。企業のセキュリティ対策効率化に直接寄与する可能性が高い。
一部の依存関係の脆弱性は、バージョンアップだけでは不十分で、プロジェクト全体にわたるコード変更が必要です。DependabotアラートをCopilot、Claude、CodexなどのAIコーディングエージェントに割り当て、脆弱性を分析させ、修正案を含むドラフトのプルリクエストを作成できるようになりました。
仕組み
Dependabotアラートの詳細ページから「Assign to Agent」を選択し、Copilot、Claude、Codexなどの希望するコーディングエージェントを選択します。割り当てられたエージェントは以下の処理を実行します:
- アラートを分析します。これにはアドバイザリの詳細と、リポジトリにおける依存関係の使用状況が含まれます。
- 提案された修正を含むドラフトのプルリクエストを作成します。
- 更新によって発生したテストの失敗を解決しようと試みます。
同じアラートに複数のエージェントを割り当てることができます。各エージェントは独立して動作し、それぞれ独自のドラフトプルリクエストを作成するため、異なるアプローチを比較することが可能です。
コーディングエージェントで複雑な依存関係更新に対処
Dependabotセキュリティアップデートは、脆弱な依存関係を最も近いパッチ済みバージョンにアップグレードするプルリクエストを自動的に作成します。多くのアラートでは、このプルリクエストをマージするだけで完了します。
しかし、一部の依存関係の更新はそれほど単純ではありません。メジャーバージョンへのアップグレードでは、破壊的なAPI変更、非推奨となったメソッド呼び出し、プロジェクト全体のコード修正が必要な互換性のない型シグネチャが導入される場合があります。このような場合にコーディングエージェントが役立ちます。Dependabotがバージョンアップを提案し、コーディングエージェントがその先の作業を引き継ぐことができます:
- 破壊的変更の修正: 依存関係の更新によってビルドやテストが失敗した場合、エージェントはその失敗を分析し、根本原因を特定して、解決のためのコード変更を提案できます。
- パッケージのダウングレード: 依存関係が侵害されたりマルウェアを含んでおり、パッチ済みバージョンが利用できない場合、エージェントは最後に確認された安全なバージョンへのダウングレードを提案できます。
- 複雑なプルリクエストの作成: Dependabotのルールベースエンジンの範囲外となる複雑な更新シナリオにおいて、エージェントは脆弱性に対処するプルリクエストを生成できます。
両ツールは連携して動作します。Dependabotが依存関係を自動的に最新に保ち、コーディングエージェントがより深い分析を必要とする修正の対応を支援します。
エージェントの出力は必ず確認してください
AIが生成した修正が常に正しいとは限りません。コーディングエージェントは、不完全なパッチを生成したり、エッジケースを見逃したり、新たな問題を引き起こす変更を提案したりする可能性があります。マージする前には、必ずプルリクエストを確認し、テストが通過することを検証し、修正内容が適切であることを確認してください。
この機能を利用できるユーザー
Dependabotアラートをコーディングエージェントに割り当てるには、GitHub Code Securityおよびコーディングエージェントへのアクセス権を含むCopilotプランが必要です。この機能はgithub.comで利用できます。
今すぐ試す
リポジトリ内の任意のDependabotアラートを開き、「Assign to Agent」を選択して開始してください。
- Dependabotアラートの管理とアラートの割り当てについては、ドキュメントで詳しく学べます。
- GitHubコミュニティでディスカッションに参加してください。
この投稿「DependabotアラートをAIエージェントに割り当てて修正できるようになりました」は、The GitHub Blogに最初に掲載されました。
原文を表示
Some dependency vulnerabilities require more than a version bump—they need code changes across your project. You can now assign Dependabot alerts to AI coding agents, including Copilot, Claude, and Codex, to analyze the vulnerability and open a draft pull request with a proposed fix.
How it works
From the Dependabot alert detail page, select Assign to Agent and then select your desired coding agent, including Copilot, Claude and Codex. The assigned agent will:
Analyze the alert, including the advisory details and your repository’s dependency usage.
Open a draft pull request with a proposed fix.
Attempt to resolve any test failures introduced by the update.
You can assign multiple agents to the same alert. Each agent works independently and opens its own draft pull request, letting you compare approaches.
Tackle complex dependency updates with coding agents
Dependabot security updates already automatically open pull requests to upgrade vulnerable dependencies to the nearest patched version. For many alerts, that’s all you need: merge the pull request and move on.
However, some dependency updates aren’t that simple. A major version upgrade can introduce breaking API changes, deprecated method calls, or incompatible type signatures that require code modifications across your project. That’s where coding agents come in. Dependabot conveys the version bump, and a coding agent can pick up where Dependabot leaves off:
Fixing breaking changes: When a dependency update breaks your build or tests, the agent can analyze the failures, identify the root cause, and propose code changes to resolve them.
Package downgrades: When a dependency is compromised or contains malware and no patched version is available, the agent can downgrade to the last known safe version.
Creating complex pull requests: For complex update scenarios that fall outside Dependabot’s rule-based engine, a coding agent can generate a pull request to address the vulnerability.
Both tools work together: Dependabot automatically keeps your dependencies current, and coding agents help tackle the fixes that require deeper analysis.
Always review agent output
AI-generated fixes are not always correct. Coding agents can produce incomplete patches, miss edge cases, or suggest changes that introduce new issues. Always review the pull request, verify that tests pass, and confirm the fix is appropriate before merging.
Who can use this feature?
Assigning Dependabot alerts to coding agents requires GitHub Code Security and a Copilot plan that includes coding agent access. This feature is available on github.com.
Try it now
Open any Dependabot alert in your repository and select Assign to Agent to get started.
Learn more about managing Dependabot alerts and assigning alerts in the documentation.
Join the discussion within GitHub Community.
The post Dependabot alerts are now assignable to AI agents for remediation appeared first on The GitHub Blog.
関連記事
DependabotとコードスキャンへのOIDCサポート
GitHubが、組織レベルで設定されたプライベートレジストリに対して、DependabotとコードスキャンにOpenID Connect認証をサポートしました。これにより、長期間有効な認証情報をリポジトリシークレットとして保存する必要がなくなります。
Dependabotとコードスキャン:組織レベルのプライベートレジストリ
GitHubが、複数の内部パッケージフィードを使用する組織向けに、Dependabotとコードスキャンの設定を簡素化した。組織レベルで同一エコシステムの複数プライベートレジストリを登録可能になった。
SBOMエクスポートが非同期処理に変更
GitHubが、リポジトリページと新APIエンドポイントからのSBOM(ソフトウェア部品表)エクスポート処理を非同期化した。これにより、大規模リポジトリでもタイムアウトせずにSBOMを生成できるようになった。