サードパーティ製コーディングエージェントのセキュリティ検証が一般提供開始
GitHub は、Claude や OpenAI Codex を含むサードパーティ製コーディングエージェントが生成したコードに対しても、Copilot と同様の自動セキュリティ検証(CodeQL、依存関係チェック、シークレットスキャン)をデフォルトで適用する機能を一般提供開始した。
キーポイント
サードパーティエージェントへのセキュリティ拡張
GitHub Copilot クラウドエージェント向けに既に提供されている自動セキュリティ検証機能が、Claude や OpenAI Codex などの他社製エージェントにも一律適用されるようになった。
多層的な自動防御メカニズム
コード生成時に CodeQL による脆弱性解析、GitHub Advisory Database への依存関係チェック、およびシークレットスキャンが自動的に実行され、問題発見時は PR 確定前に修正を試みる。
設定の自動継承とライセンス不要
セキュリティ検証はデフォルトで有効化され、リポジトリごとの Copilot 設定をそのまま引き継ぐため追加設定が不要であり、GitHub Advanced Security ライセンスも必要ない。
影響分析・編集コメントを表示
影響分析
この発表は、開発者が複数の AI エージェントを混在して利用する環境におけるセキュリティリスク管理の負担を劇的に軽減し、ベンダーロックインに関わらず一貫したセキュリティ基準を維持することを可能にします。これにより、AI コーディングツールの採用拡大に伴う潜在的な脆弱性や機密情報漏洩のリスクが、組織レベルで体系的に抑制されることになります。
編集コメント
サードパーティ製 AI ツールの台頭により、セキュリティ管理の複雑化が懸念される中、プラットフォーム側が一元的な保護を提供する姿勢は非常に重要です。特に「ライセンス不要」かつ「デフォルト有効」という点は、開発現場における実装コストを下げつつセキュリティ水準を底上げする画期的な施策と言えます。
サードパーティ製コーディングエージェントのセキュリティ検証機能は、現在一般利用可能です。GitHub は、リポジトリ内で直接動作し、機能の実装、バグ修正、テストカバレッジの向上を行うサードパーティ製コーディングエージェント(Claude や OpenAI Codex などを含む)をサポートしています。これにより、これらのエージェントによって生成されたコードも、GitHub Copilot クラウドエージェントに対して既に提供されているのと同じ自動セキュリティ検証の対象となります。詳細は、「GitHub Copilot クラウドエージェントのリスクと緩和策」をお読みください。
サードパーティ製コーディングエージェントがリポジトリ内でコードを作成した場合、GitHub は自動的に CodeQL を使用して潜在的なセキュリティ脆弱性を分析し、新たに導入された依存関係を GitHub Advisory Database と照合し、GitHub secret scanning を活用して API キーやトークンなどの機密情報を検出します。分析結果に問題が見つかった場合、エージェントはプルリクエストを確定する前にその解決を試みます。
2025 年 10 月に Copilot クラウドエージェント向けの自動コード検証機能をリリースしてから、数百件の潜在的なセキュリティ漏洩や脆弱性を事前に防止してきました。この保護機能をサードパーティ製エージェントにも拡張することで、どのコーディングエージェントが記述したかにかかわらず、エージェント生成のすべてのコード行が同じセキュリティチェックを受けることを確実にします。
これらのセキュリティ検証はデフォルトで有効になっており、使用する検証ツールの設定はリポジトリの Copilot 設定に従います。すでに Copilot クラウドエージェントに対してセキュリティ検証を有効化している場合、サードパーティ製エージェントも自動的に同じ保護を受けられます。セキュリティ検証には GitHub Advanced Security のライセンスは不要です。詳細については「エージェント設定の設定」をご覧ください。
この投稿「サードパーティ製コーディングエージェント向けのセキュリティ検証」は、最初に The GitHub Blog で公開されました。
原文を表示
Security validation for third-party coding agents is now generally available. GitHub supports third-party coding agents (including Claude and OpenAI Codex) that work directly within your repositories to implement features, fix bugs, and improve test coverage. Now, code generated by these agents receives the same automatic security validation already available for GitHub Copilot cloud agent. Learn more by reading Risks and mitigations for GitHub Copilot cloud agent.
When a third-party coding agent creates code in your repository, GitHub now automatically analyzes it for potential security vulnerabilities using CodeQL, checks newly introduced dependencies against the GitHub Advisory Database, and uses GitHub secret scanning to detect sensitive information such as API keys and tokens. If the analysis finds any issues, the agent attempts to resolve them before finalizing the pull request.
Since we released automatic code validation for Copilot cloud agent in October 2025, we’ve proactively prevented hundreds of potential security leaks and vulnerabilities. Extending this protection to third-party agents helps ensure that every line of agent-generated code undergoes the same security checks, regardless of which coding agent wrote it.
These security validations are on by default and follow your repository’s Copilot settings for which validation tools to use. If you’ve already enabled security validation for Copilot cloud agent, third-party agents will automatically receive the same protections. Security validation doesn’t require a GitHub Advanced Security license. See Configuring agent settings for more information.
The post Security validation for third-party coding agents appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み