GitHub、AIでコード脆弱性を自動修正する「Copilot Autofix」を正式リリース　修正時間をどれだけ短縮できる？：GPT-4oも活用

　開発者はこうしてコードから新しい脆弱性を排除できる。また、既存コードに対してCopilot Autofixを使用して、脆弱性の解消を図ることも可能だ。

　Copilot Autofixによる修正コードの生成は、GitHubのコード分析エンジン「CodeQL」、OpenAIの大規模言語モデル（LLM）「GPT-4o」、AIペアプログラマー「GitHub Copilot」のAPIを利用して行われる。

脆弱性の修正コードを提案するCopilot Autofix（提供：GitHub）

　GitHubによると、2024年5〜7月のパブリックβ期間における顧客データは以下のように、Copilot Autofixが、コード脆弱性の検出から修正までの時間を大幅に短縮することを示している。

• 全体として、開発者がCopilot Autofixを使用して、プルリクエスト時のアラートの修正をコミットするのにかかった時間の中央値は28分で、同じアラートを手動で解決するのにかかった時間は1.5時間だった。Copilot Autofixにより、修正時間は3分の1に短縮されたことになる
• クロスサイトスクリプティングの脆弱性の修正時間は、ほぼ3時間から22分へと7分の1に短縮された
• SQLインジェクションの脆弱性の修正時間は、3.7時間から18分へと12分の1に短縮された

　GitHubは、経験豊富なセキュリティ人材は不足しているが、Copilot Autofixを使用することで、全ての開発者が必要なときにいつでも、セキュリティの専門知識の恩恵を受けられると述べている。

　また、Copilot Autofixによってコード脆弱性の修正時間が大幅に短縮されることは、AIエージェントが安全なソフトウェアの開発作業を根本的に簡素化し、加速させることができることを示す強力な例だとしている。

　なお、GitHubは2024年9月から、全てのオープンソースプロジェクトにCopilot Autofixを無料で提供する。GitHubはオープンソースへの貢献を目的に、これまでもオープンソースのメンテナーに、コードスキャン、シークレットスキャン、依存関係管理、プライベート脆弱性レポートツールといったセキュリティ機能を無料で提供している。