あなたのコードはどれだけ危険にさらされているか?無料で数分でわかる
GitHubは、組織のコードベースに潜む脆弱性を数分で可視化する無料の「Code Security Risk Assessment」ツールを公開し、CodeQLスキャンとCopilot Autofixの適合性を一元ダッシュボードで提供している。
キーポイント
スキャン範囲とアクセス制限
GitHub Enterprise CloudおよびTeamプランの管理者・セキュリティマネージャー向けに、最大20リポジトリを対象とした無料スキャンを提供する。
脆弱性の多角的な可視化
重大度(critical/high/medium/low)、言語別、検出ルール、影響リポジトリ数を一覧で表示し、優先対応範囲を明確化する。
AI自動修正(Copilot Autofix)との連携
スキャン結果から、GitHubのAI駆動修正ツール「Copilot Autofix」で自動対応可能な脆弱性の割合を算出し、AI活用ロードマップを提示する。
既存セキュリティツールとの統合
昨年公開の「Secret Risk Assessment」とタブで統合され、シークレット漏洩とコード脆弱性の両方を単一インターフェースで一元管理可能になる。
GitHubセキュリティ製品とのシームレスな連携
評価結果ページからCode Securityをワンクリックで有効化でき、Secret ProtectionやCode Securityといった対応製品へ直接移行できる。
Copilot Autofixによる脆弱性修正の効率化
2025年のデータでは46万件以上のアラートが修正され、平均修正所要時間が手動の約半分(0.66時間)に短縮された。評価結果にはAutofix対応件数が表示され、リスク低減の速度を具体的に把握できる。
無料かつ短時間で実行可能なリスク評価
セキュリティスキャンの有無や成熟度に関わらず組織全体のリスクを可視化でき、わずか数分で完了する。この無料ツールは現在のセキュリティ体制の見直しや強化のきっかけとなる。
影響分析・編集コメントを表示
影響分析
GitHubは既存のCodeQLスキャン能力を簡易ダッシュボードにパッケージ化し、セキュリティチームの初期可視化コストと運用負荷を大幅に削減した。特にCopilot Autofixとの適合性指標を組み込んだことで、脆弱性修正プロセスのAI自動化への移行を促進し、エンタープライズ環境でのセキュリティ運用効率化に寄与する。
編集コメント
GitHubが既存のCodeQLスキャンを「1クリック無料」という低ハードルで提供し、セキュリティ運用の初期段階における可視化とAI修正への橋渡しを明確にした。ただし最大20リポジトリの制限があるため、大規模組織では補完的な活用が現実的だろう。
ほとんどのセキュリティリーダーは同じ懸念を抱えています:自らのコードベースには、把握できていない脆弱性が存在するのではないかと。
厳しい現実として、ほとんどのコードは徹底的なセキュリティレビューを受けていません。脆弱性は、アクティブなリポジトリ内で、言語やチームを問わず静かに蓄積され、問題が発生するまで検知されないことが多いのです。また、手動レビューや範囲が限定されたツールに依存している場合、その見落としは想像以上に大きい可能性があります。
本日、「コードセキュリティリスク評価」を紹介します。これは、組織のコードに潜む脆弱性を明らかにする、無料のワンクリックスキャンです。ライセンス不要。設定不要。契約も不要。ただ、明確な可視化を提供します。
コードセキュリティリスク評価は、GitHub Organizationの管理者とセキュリティマネージャーが利用できます。該当しない場合でも、この投稿は一読の価値があり、共有する意味があります:この評価が何を明らかにし、なぜ実行する価値があるのかを説明しているからです。
無料評価を実行する >
何がわかるのか
コードセキュリティリスク評価は、GitHubが業界をリードする静的解析エンジンであるCodeQLを使用し、最大20の最もアクティブなリポジトリをスキャンして、発見内容を要約したダッシュボードを提供します:
スキャン対象リポジトリで発見された脆弱性の総数を、深刻度(クリティカル、高、中、低)別に分類
言語別の脆弱性により、コードベースのどの部分が最も高いリスクを抱えているかを把握
検出されたルール、つまり発見されたセキュリティ問題の具体的な種類、影響を受けるリポジトリ数、およびその深刻度を表示
最も脆弱なリポジトリを提示し、修復作業をどこに優先すべきかの特定を支援
Copilot Autofixの適用可否 — GitHubのAI駆動修復ツールであるCopilot Autofixで自動修正可能な脆弱性の数
この評価は、GitHub Enterprise CloudおよびGitHub TeamプランのOrganization管理者とセキュリティマネージャーが利用できます。完全に無料です — ライセンス費用は一切かからず、スキャンに使用されるGitHub Actionsの分数もクォータにカウントされません。
仕組みを見る。
セキュリティの全体像を完成させる
すでにSecret Risk Assessmentを実行したことがあれば、可視化の価値はご存知でしょう。昨年の提供開始以来、Secret Risk Assessmentは数千の組織が漏洩した認証情報への曝露を理解するのに役立ってきました。2025年だけでも、Secret Protectionを利用するお客様は約20億回のプッシュをスキャンし、1900万件のシークレット漏洩をブロックしています。
コードセキュリティリスク評価は、この同じ考え方をソースコードの脆弱性に適用します。両方の評価は、単一のエントリーポイントからまとめて実行できるようになり、タブ式インターフェースでシークレットの曝露状況とコードの脆弱性の発見を切り替えられます。これらを組み合わせることで、組織のセキュリティ状況(シークレットとコード)を数分で統合的に把握できます。
たとえご自身がセキュリティスキャンを実行する責任者でなくても、これらの評価結果は、チームがリスクの所在と優先すべき修正点について共通認識を持つうえで役立ちます。
そして、発見内容に基づいて対策を講じる準備が整ったときには、各評価に対応するGitHub製品が支援を提供します。Secret Protectionは認証情報の漏洩を防止し、Code Securityは脆弱性を発見・修正します。評価は、なぜそれらが必要なのかを示すのです。
発見から修正へ
脆弱性の所在を知ることが第一歩です。実際にリスクを軽減するのは、それらを修正することです。
ここで、GitHub Code SecurityとCopilot Autofixが従来のやり方を変えます。2025年のGitHub全体では:
460,258件のセキュリティアラートがCopilot Autofixを使用して修正されました
脆弱性アラートの50%がプルリクエスト内で直接解決されました — 開発者がすでに作業している場所で
Copilot Autofixを使用した場合の平均修復時間は0.66時間であり、手動修正(1.29時間)と比較して約2倍の速さでした
コードセキュリティリスク評価の結果は、検出された脆弱性のうちCopilot Autofixの適用対象がどれだけあるかを示します。これにより、どれほど迅速にリスク軽減を開始できるかについて、具体的な見通しが得られます。準備ができたら、結果ページからワンクリックで直接Code Securityを有効にできます。
見逃していたものを見つける
セキュリティスキャンをまったく実施していない場合、現在のツールを評価している場合、あるいは組織全体のリスクをより広く把握したい場合 — コードセキュリティリスク評価は、あなたの現在地に合わせて提供されます。
無料です。所要時間はわずか数分。そして、そこで得られる知見は、セキュリティ対策についての考え方を変えるかもしれません。
無料のコードセキュリティリスク評価を実行する、または詳細を知りたい場合はドキュメントをお読みください。
この投稿「あなたのコードはどれだけ晒されている?無料で数分でわかります」は、The GitHub Blogで最初に公開されました。
原文を表示
Most security leaders share the same suspicion: there are vulnerabilities in our codebase that we don’t know about.
The uncomfortable truth is that most code never gets a thorough security review. Vulnerabilities accumulate quietly in active repositories, across languages and teams, often undetected until something goes wrong. And if you’re relying on manual reviews or narrowly scoped tools, the gaps may be wider than you think.
Today, we’re introducing the Code Security Risk Assessment: a free, one-click scan that reveals vulnerabilities hiding in your organization’s code. No license required. No configuration. No commitment. Just clarity.
The Code Security Risk Assessment is available to GitHub organization admins and security managers. If that’s not you, this post is still worth reading and sharing: it explains what the assessment reveals and why it’s worth running.
Run your free assessment >
What you’ll learn
The Code Security Risk Assessment scans up to 20 of your most active repositories using CodeQL, GitHub’s industry-leading static analysis engine, and delivers a dashboard summarizing what it finds:
Total vulnerabilities found across your scanned repositories, broken down by severity: critical, high, medium, and low
Vulnerabilities by language, so you can see which parts of your codebase carry the most risk
Rules detected, showing the specific classes of security issues found, how many repositories they affect, and their severity
Most vulnerable repositories, helping you identify where to focus remediation first
Copilot Autofix eligibility — how many of your vulnerabilities could be automatically fixed with Copilot Autofix, GitHub’s AI-powered remediation tool
The assessment is available to organization admins and security managers on GitHub Enterprise Cloud and GitHub Team plans. It’s completely free — you won’t be charged for any licenses, and the GitHub Actions minutes used for scanning don’t count against your quota.
See how it works.
Completing the security picture
If you’ve already run a Secret Risk Assessment, you know the value of visibility. Since launching last year, the Secret Risk Assessment has helped thousands of organizations understand their exposure to leaked credentials. In 2025 alone, customers using Secret Protection scanned nearly 2 billion pushes and blocked 19 million secret exposures.
The Code Security Risk Assessment brings that same philosophy to vulnerabilities in your source code. Both assessments now run together from a single entry point, with a tabbed interface that lets you switch between your secret exposure and your code vulnerability findings. Together, they give you a unified view of your organization’s security posture—secrets and code—in minutes.
Even if you’re not responsible for running security scans yourself, the results of these assessments can help your team align on where risk exists and what to fix first.
And when you’re ready to act on what you find, each assessment has a corresponding GitHub product designed to help. Secret Protection stops credentials from leaking. Code Security finds and fixes vulnerabilities. The assessments show you why you need them.
From found to fixed
Knowing where your vulnerabilities are is the first step. Fixing them is what actually reduces risk.
That’s where GitHub Code Security and Copilot Autofix change the equation. Across GitHub in 2025:
460,258 security alerts were fixed using Copilot Autofix
50% of vulnerability alerts were resolved directly in pull requests — where developers are already working
Mean time to remediation was nearly twice as fast with Copilot Autofix (0.66 hours) compared to manual fixes (1.29 hours)
Your Code Security Risk Assessment results will show you how many of your detected vulnerabilities are eligible for Copilot Autofix — giving you a concrete picture of how quickly you could start reducing risk. When you’re ready, you can enable Code Security directly from the results page with a single click.
Find what you’ve been missing
Whether you have no security scanning in place, you’re evaluating your current tools, or you want a broader view of risk across your organization — the Code Security Risk Assessment meets you where you are.
It’s free. It takes minutes. And what you learn might change how you think about your security posture.
Run your free Code Security Risk Assessment, or to learn more, read the docs.
The post How exposed is your code? Find out in minutes—for free appeared first on The GitHub Blog.
関連記事
GitHub Enterprise Server 3.20 リリース候補版が利用可能に
GitHub Enterprise Server 3.20は、デプロイ効率、監視機能、コードセキュリティ、ポリシー管理を強化。マージ体験の改善などが含まれる。
アンストロピックの魔法のようなコード検査ツール:現時点ではチェダーよりスイスチーズの方が穴が多い
AnthropicはAIコードセキュリティモデル「Mythos」を公開した。しかし、このシステムは人間が教えた脆弱性しか検出できず、その能力には限界がある。名称の期待と現実のギャップが指摘されている。
組織向けコードセキュリティリスク評価の提供開始
GitHubが組織管理者とセキュリティ管理者向けに無料のコードセキュリティリスク評価を提供開始。脆弱性を深刻度・ルールタイプ・プログラミング言語別に分析し、Copilot Autofixによる自動修正提案を含む対処ガイダンスを提供する。