GitHub、AI駆動の検出機能でアプリケーションセキュリティのカバレッジを拡大
GitHubはCodeQLの静的解析とAI検出を組み合わせ、Pull Requestワークフロー内で多言語・インフラ定義のセキュリティリスクを早期に発見する新機能を公開予定としている。
キーポイント
静的解析とAIのハイブリッド検出モデル
CodeQLによる深層解析を補完し、AIで従来の静的解析が困難なスクリプトやインフラ定義の脆弱性を検出する方式を採用した。
Pull Requestワークフローへのシームレス統合
変更内容がPRで開かれた際に自動分析し、リスクと修正案を開発者が既存のツール内で確認・修正できる設計となっている。
対応エコシステムの拡大と内部テスト結果
Shell/Bash、Dockerfile、Terraform(HCL)、PHPなどを新たにサポートし、30日間で17万件以上の検出を記録した。
影響分析・編集コメントを表示
影響分析
GitHubは従来の静的解析ツールにAI検出機能を融合させることで、マルチエコシステム化する現代のコードベースにおけるセキュリティギャップを埋める実用的な解決策を示した。Pull Requestワークフローへの直接統合は、開発者の負担を増やさずにDevSecOpsを推進する業界標準のあり方を定義しており、競合他社も同様の「AI+静的解析」ハイブリッド戦略を加速させる可能性がある。
編集コメント
静的解析の精度とAIの汎用性を組み合わせるこのアプローチは、多言語・インフラ定義が混在する現代の開発現場にとって現実的なセキュリティ対策となる。今後は検出結果のフィードバックループがどう学習データに反映され、誤検知率を低下させるかが今後の課題となる。
AIはソフトウェア開発を加速させ、現代のリポジトリで使用される言語やフレームワークの範囲を拡大しています。セキュリティチームは、従来の静的解析でカバーされていた中核的なエンタープライズ言語だけでなく、多くのエコシステムにまたがって記述されたコードを保護する責任をますます負うようになっています。
そのためGitHubは、GitHub Code SecurityにAIを活用したセキュリティ検出機能を導入し、より多くの言語やフレームワークにわたるアプリケーションセキュリティのカバレッジを拡大します。これらの検出機能は、従来の静的解析のみではサポートが困難な領域で潜在的な脆弱性を発見することで、CodeQLを補完します。パブリックプレビューの提供は、第2四半期(Q2)の初頭を予定しています。
静的解析とAIによるアプリケーションセキュリティカバレッジの拡大
静的解析は、サポート対象言語における脆弱性を特定する効果的な方法であり続けているため、GitHub Code Securityは深い意味解析のためCodeQLに依存し続けています。しかし、現代のコードベースには、多くの追加エコシステムで構築されたスクリプト、インフラストラクチャ定義、アプリケーションコンポーネントが含まれることが少なくありません。
この現状に対処するため、GitHub Code Securityは、追加の言語やフレームワークに対してCodeQLとAIを活用したセキュリティ検出機能を組み合わせることでカバレッジを拡張します。このハイブリッド検出モデルにより、プルリクエストワークフロー内で開発者に直接、脆弱性と修正案を提示することが可能になります。
内部テストでは、このシステムは30日間で17万件以上の検知結果を処理し、開発者からのフィードバックの80%以上が肯定的なものでした。初期結果は、AIを活用した検出機能により新たにサポートされるエコシステム、具体的にはShell/Bash、Dockerfiles、Terraform設定(HCL)、PHPに対して、強力なカバレッジを示しています。
この機能は、開発者ワークフロー全体でセキュリティ、コード品質、コードレビュー体験を支える、GitHubのより広範なエージェント検出プラットフォームの一部です。拡張されたカバレッジとして始まるこの取り組みは、静的解析の精度と、開発の加速に伴い明らかになるより深い文脈や新たな脆弱性の知見とを組み合わせることで、時間とともに進化する検出機能の基盤を築きます。
拡張されたセキュリティカバレッジをプルリクエストに統合
プルリクエストは、開発者がすでに変更をレビューし承認する場所であり、セキュリティリスクを早期に発見する最も効果的な場所です。プルリクエストが作成されると、GitHub Code Securityは、CodeQLによる静的解析かAIを活用したセキュリティ検出のいずれか、最も適切な検出アプローチを用いて変更を自動的に分析します。
結果は、他のコードスキャンの結果と同様にプルリクエスト内に直接表示され、安全でない文字列結合によるSQLクエリやコマンド、安全でない暗号化アルゴリズム、機密リソースを公開するインフラストラクチャ設定などのリスクを発見します。
セキュリティ検出をプルリクエストワークフローに統合することで、GitHubは開発者に既存のツールやプロセスから離れることを求めることなく、チームがより早く脆弱性を発見し修正することを支援します。
Copilot Autofixで拡張検出をレビュー対応の修正へ
脆弱性を早期に発見することは、課題の一部に過ぎません。セキュリティチームは、それらの問題が迅速かつ安全に修正されることも確実にする必要があります。
GitHub Code Securityは、Copilot Autofixを通じて検出と修復を結びつけます。これにより、開発者が通常のコードレビュープロセスの一環としてレビュー、テスト、適用できる修正案を提案できます。
開発者はすでにAutofixを大規模に使用しています。2025年には46万件以上のセキュリティアラートを修正し、Autofixなしの場合の平均解決時間1.29時間と比較して、平均0.66時間で解決に至りました。
拡張検出とCopilot Autofixを組み合わせることで、チームはリスクの発見から修正へと、より迅速に移行できます。
マージ時点でのセキュリティ成果の強制
GitHubは開発ワークフローのマージポイントに位置しているため、セキュリティチームは、コードが出荷された後ではなく、レビューされ承認されるその場で、成果を強制することができます。検出、修復、ポリシー強制をプルリクエストに集約することで、GitHubは開発を遅延させることなくチームのリスク軽減を支援します。
RSACにおいて、GitHubはAIを活用したセキュリティ検出機能が、プルリクエスト内で直接アプリケーションセキュリティカバレッジをどのように拡大するかをプレビューします。このデモは、より広範な方向性を示すものです。すなわち、今日は拡張されたカバレッジから始まり、GitHubのエージェント検出プラットフォームの一部として、より深い、AIで拡張された静的解析へと進化していきます。ハイブリッド検出、開発者ネイティブな修復、プラットフォームガバナンスがどのように連携して現代のソフトウェア開発を保護するかをご覧になるには、RSACブース #2327のGitHubへお越しください。
この投稿「GitHub expands application security coverage with AI‑powered detections」は、The GitHub Blogに最初に公開されました。
原文を表示
AI is accelerating software development and expanding the range of languages and frameworks used in modern repositories. Security teams are increasingly responsible for protecting code written across many ecosystems, not just the core enterprise languages traditionally covered by static analysis.
That’s why GitHub is introducing AI-powered security detections in GitHub Code Security to expand application security coverage across more languages and frameworks. These detections complement CodeQL by surfacing potential vulnerabilities in areas that are difficult to support with traditional static analysis alone. Public preview availability is planned for early Q2.
Expanding application security coverage with static analysis and AI
Static analysis remains an effective way to identify vulnerabilities in supported languages, which is why GitHub Code Security continues to rely on CodeQL for deep semantic analysis. But modern codebases often include scripts, infrastructure definitions, and application components built across many additional ecosystems.
To address this reality, GitHub Code Security extends coverage by pairing CodeQL with AI-powered security detections across additional languages and frameworks. This hybrid detection model helps surface vulnerabilities—and suggested fixes—directly to developers within the pull request workflow.
In internal testing, the system processed more than 170,000 findings over a 30-day period, with more than 80% positive developer feedback. Early results show strong coverage for ecosystems newly supported through AI-powered detections, including Shell/Bash, Dockerfiles, Terraform configurations (HCL), and PHP.
This capability sits within GitHub’s broader agentic detection platform, which powers security, code quality, and code review experiences across the developer workflow. What begins as expanded coverage establishes a foundation for evolving detections over time, pairing the precision of static analysis with deeper context and new vulnerability insights that emerge as development continues to accelerate.
Bringing expanded security coverage into pull requests
Pull requests are where developers already review and approve changes, making them the most effective place to surface security risks early. When a pull request is opened, GitHub Code Security automatically analyzes the changes using the most appropriate detection approach, whether that is static analysis powered by CodeQL or AI-powered security detections.
The results appear directly in the pull request alongside other code scanning findings, surfacing risks such as unsafe, string built SQL queries or commands, insecure cryptographic algorithms, and infrastructure configurations that expose sensitive resources.
By integrating security detections into the pull request workflow, GitHub helps teams catch and fix vulnerabilities earlier, without asking developers to leave the tools and processes they already use.
Turning expanded detection into review-ready fixes with Copilot Autofix
Identifying vulnerabilities early is only part of the challenge. Security teams must also ensure those issues are fixed quickly and safely.
GitHub Code Security connects detection to remediation with Copilot Autofix, which can suggest fixes that developers can review, test, and apply as part of the normal code review process.
Developers are already using Autofix at scale. It has fixed more than 460,000 security alerts in 2025, reaching resolution in 0.66 hours on average compared to 1.29 hours without Autofix.
Together, expanded detection and Copilot Autofix help teams move faster from finding risk to fixing it.
Enforce security outcomes at the point of merge
Because GitHub sits at the merge point of the development workflow, security teams can enforce outcomes where code is reviewed and approved, not after it ships. By bringing detection, remediation, and policy enforcement together in pull requests, GitHub helps teams reduce risk without slowing development.
At RSAC, GitHub will preview how AI-powered security detections expand application security coverage directly within pull requests. This demonstration reflects a broader direction: starting with expanded coverage today, and evolving toward deeper, AI-augmented static analysis as part of GitHub’s agentic detection platform. Visit GitHub at RSAC booth #2327 to see how hybrid detection, developer-native remediation, and platform governance work together to secure modern software development.
The post GitHub expands application security coverage with AI‑powered detections appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み