GitHubがAIによる脆弱性検出を導入——CodeQLだけでは難しかった言語・フレームワークまでカバー範囲を拡大

GitHubがAI搭載のバグ検出機能を追加——セキュリティカバレッジを大幅拡充

GitHubは、コードセキュリティツール「GitHub Code Security」にAIベースのスキャン機能を追加すると発表した。従来のCodeQL静的解析を補完する形でAI検出を組み合わせ、これまでカバーが難しかった言語・フレームワークへの対応を広げる。

なぜAIが必要か——CodeQLだけでは届かない領域

CodeQLはC/C++、Java、Python、JavaScriptなど主要言語に対して高精度なセマンティック解析を提供してきた。しかし、Shell/Bash、Dockerfile、Terraform、PHPといったエコシステムでは、従来の静的解析だけでは「十分な精査ができていなかった」とGitHubは説明している。

今回導入されるハイブリッドモデルでは、プラットフォーム側がプルリクエストごとにCodeQLとAIのどちらを使うかを自動判断する。開発者は意識することなく、より広いカバレッジによる恩恵を受けられる設計だ。

新機能は2026年第2四半期前半にパブリックプレビュー入りする予定で、早ければ来月（4月）にも公開される見込みだ。

内部テストで17万件以上の検出——開発者満足度80%

GitHubが公開した内部テストの結果によれば、30日間で17万件以上の検出結果を処理し、開発者からの**ポジティブフィードバックは80%**に達した。検出された問題は「弱い暗号化・設定ミス・安全でないSQL」などが中心で、プルリクエストの画面上に直接表示される。

Copilot Autofixとの連携で修正時間も短縮

GitHub Code Securityとセットで機能するのが「Copilot Autofix」だ。2025年の統計（46万件以上のセキュリティアラートを対象）によると、Autofixを使った場合の平均解決時間は0.66時間で、使わない場合（1.29時間）と比べて約半分に短縮されている。

利用条件と料金

GitHub Code Securityはすべてのパブリックリポジトリでは無料（一部制限あり）で利用できる。プライベート・内部リポジトリでフル機能を使うには「GitHub Advanced Security（GHAS）」アドオンの契約が必要だ。日本企業でGitHub Enterpriseを利用している場合はGHASのライセンス状況を確認しておきたい。

開発フローへのセキュリティ統合が加速

今回の動きは、セキュリティをCI/CDパイプラインに組み込む「シフトレフト」のトレンドをさらに推し進めるものだ。AIによる検出がコードレビューの段階で自動的に行われることで、脆弱性が本番環境に混入するリスクを早期に排除できる。開発チームがセキュリティ専門知識を持たなくても、一定水準の安全性を担保しやすくなる点は特に中小規模のチームにとってメリットが大きいだろう。

元記事: GitHub adds AI-powered bug detection to expand security coverage