GitHubは2024年3月20日、GitHub CopilotとCodeQLを利用してコードの脆弱性をスキャン、自動修正する「code scanning autofix」の機能がGitHub Advanced Securityユーザ向けにパブリックベータ版として利用可能となったことを発表した。

• Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL -The GitHub Blog

Meet code scanning autofix, the new AI security expertise now built into GitHub Advanced Security! https://t.co/cTDuKZCWMv

— GitHub (@github) March 20, 2024

scanning autofixは2023年11月にプレビュー公開された機能で、コードをスキャンし、CodeQLとGitHub Copilotの生成AI機能を組み合わせて、脆弱性が発見された場合に修正提案が行われる。修正提案には開発者が受け入れ、編集、または却下できるコード提案のプレビューとともに、その提案に関する自然言語による説明が含まれる。またこれらのコード提案には、現在のコードへの変更に加えて複数のファイルへの変更やプロジェクトに追加する必要がある依存関係も提示される。対応言語は現在のところJavaScript、Typescript、Java、Pythonで、同社によるとこれらの言語のアラートタイプの90％以上をカバーし、検出された脆弱性の3分の2以上をほとんど、またはまったく編集せずに修正できるコード提案が提供されるとのこと。C#とGoのサポートも追加される予定。

code scanning autofixを使用するには、GitHub Enterpriseを組織で導入し、さらにGitHub Advanced Securityのユーザとなる必要がある。無料トライアルも用意されている。