GitHub MCP サーバーによる依存関係スキャンが公開プレビューへ
GitHub は MCP サーバーの依存関係スキャン機能を公開プレビューとして提供し、開発者がコードを書いている最中に AI エージェントを通じて脆弱性を検出・修正できるようになった。
キーポイント
MCP サーバーによる事前スキャン機能の追加
GitHub MCP Server に依存関係スキャンツールが統合され、コミットやプルリクエスト作成前に脆弱性を検出可能となった。
AI エージェントとの連携による自動化
MCP 対応の IDE や AI コーディングエージェントがプロンプトを実行することで、依存関係情報を GitHub Advisories Database に照会し、構造化された結果を返す。
具体的な導入手順とツール
GitHub Copilot CLI や VS Code での設定方法や、より詳細なスキャンのための「advanced-security」プラグインのインストール手順が明記されている。
影響分析・編集コメントを表示
影響分析
この発表は、AI エージェントが単なるコード生成ツールから、セキュリティ監査役としての役割を担う重要な転換点を示しています。開発者が手動でスキャンを実行する手間を省きつつ、依存関係の脆弱性リスクをリアルタイムで低減できるため、DevSecOps の実装コストとハードルが劇的に低下します。
編集コメント
AI エージェントがセキュリティチェックを実行する仕組みを標準プロトコル(MCP)で実装した点は、開発者体験の向上に直結する画期的な進展です。
GitHub MCP Server を使用すると、コミットやプルリクエストを開く前にコード変更をスキャンして脆弱な依存関係を検出できるようになりました。MCP 対応の IDE や AI コーディングエージェントでコードを書いている間に既知の脆弱性を検出できます。現在は、Dependabot アラートが有効になっているリポジトリに対してパブリックプレビューとして利用可能です。
仕組み
依存関係の脆弱性スキャンツールは、GitHub MCP Server の dependabot ツールセットの一部として提供されます。一度有効化すると、AI コーディングエージェントはプロンプトに基づいて依存関係の脆弱性スキャンを実行できます。エージェントに脆弱な依存関係の確認を依頼すると、ツールセットが呼び出され、依存関係情報が GitHub Advisory Database に送信され、影響を受けるパッケージ、深刻度、推奨される修正バージョンを含む構造化された結果が返されます。より徹底的なコミット後のチェックを行うには、ツールセットはローカルで Dependabot CLI を実行して、変更前後の依存関係グラフを比較することも可能です。
始め方
開発者環境に GitHub MCP Server を設定し、dependabot ツールセットを有効化してください:
GitHub Copilot CLI では、GitHub MCP Server が事前にインストールされています。セッション用に dependabot ツールセットを有効化するには、copilot --add-github-mcp-toolset dependabot を実行します。
Visual Studio Code では、GitHub MCP Server のヘッダーに "X-MCP-Toolsets": "dependabot" を追加するか、Copilot Chat のツールセットセレクターから Dependabot を選択してください。
より特化された依存関係の脆弱性スキャン体験を得るために、GitHub Copilot 用の advanced-security プラグインをインストールします。例:
GitHub Copilot CLI では、/plugin install advanced-security@copilot-plugins を実行してください。
Visual Studio Code では、advanced-security エージェントプラグインをインストールした後、Copilot Chat で /dependency-scanning を使用してプロンプトを開始します。
コミットする前に、エージェントに現在の変更点に含まれる依存関係の脆弱性をスキャンするように依頼してください。
以下は、ご使用いただけるプロンプトの例です:「このブランチで追加した依存関係を既知の脆弱性についてスキャンし、コミットする前にどのバージョンにアップグレードすべきか教えてください。」
詳しくはこちらをご覧ください。
Dependabot。
GitHub Advisory Database。
GitHub MCP Server。
GitHub コミュニティ内での議論に参加してください。
「GitHub MCP Server を用いた依存関係のスキャンがパブリックプレビューを開始しました」という記事は、The GitHub Blog で最初に公開されました。
原文を表示
The GitHub MCP Server can now scan your code changes for vulnerable dependencies before you commit or open a pull request. You’ll catch known vulnerabilities while you write code with MCP-compatible IDEs and AI coding agents. It’s now in public preview for repositories with Dependabot alerts enabled.
How it works
The dependency vulnerability scanning tools ship as part of the GitHub MCP Server’s dependabot toolset. Once enabled, your AI coding agent can run dependency vulnerability scanning based on your prompts. When you ask the agent to check for vulnerable dependencies, it invokes the toolset, sends dependency information to the GitHub Advisory Database, and returns structured results with affected packages, severity, and recommended fixed versions. For more thorough post-commit checks, the toolset can also run the Dependabot CLI locally to diff dependency graphs before and after your changes.
Get started
Set up the GitHub MCP Server in your developer environment and enable the dependabot toolset:
In GitHub Copilot CLI, the GitHub MCP Server is preinstalled. Run copilot --add-github-mcp-toolset dependabot to enable the dependabot toolset for your session.
In Visual Studio Code, add "X-MCP-Toolsets": "dependabot" to your GitHub MCP Server headers, or pick Dependabot from the toolset selector in Copilot Chat.
Install the advanced-security plugin for GitHub Copilot for a more tailored dependency vulnerability scanning experience. For example:
In GitHub Copilot CLI, run /plugin install advanced-security@copilot-plugins.
In Visual Studio Code, install the advanced-security agent plugin, then use /dependency-scanning in Copilot Chat to start your prompt.
Ask your agent to scan your current changes for vulnerable dependencies before you commit.
Here’s an example prompt you can use: Scan the dependencies I added on this branch for known vulnerabilities and tell me which versions to upgrade to before I commit.
Learn more
Dependabot.
GitHub Advisory Database.
GitHub MCP Server.
Join the discussion within GitHub Community.
The post Dependency scanning with GitHub MCP Server is in public preview appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み