Skip to content
GitHub Code Security

AIで検出して修正するアプリケーションセキュリティ

GitHub Code Securityでソフトウェア開発しながらコードをセキュア化、Copilot Autofixで脆弱性を早期に検出。

The image shows a terminal window with a git push command that failed due to detected secrets. The error message includes "error GH009: Secrets detected! This push failed" and instructions to resolve the issue before pushing again. An active secret is highlighted.

28分 脆弱性の検出から修復までの時間

3倍 Copilot Autofixによる修復高速化の平均値

90% AI駆動のコード提案が含まれるアラートタイプの割合

脆弱性を早期に検出
AI活用で修復

セキュリティチェックを自動化

CodeQLの強力な分析でセキュリティ問題をリアルタイムで検出しましょう。この分析は、アプリケーション全体のデータ フローを追跡します。

The image displays a code snippet from a JavaScript file named "collection.js" located in the "routes" directory. The code is highlighted in three steps, with Step 1 being the focus. In Step 1, the variable "jsonQuery" is assigned the value of "req.query.query". The code snippet includes four lines where variables are defined and assigned values from the request query object. The background has a gradient blue color.

修正もスケーラブルに

Copilot Autofixを使用して、CodeQLが検出したアラートに対して、文脈に沿った説明を取得、AI駆動の修正を行います。

The image displays a code snippet from a JavaScript file named "collection.js" located in the "routes" directory. The code is highlighted in three steps, with Step 1 being the focus. In Step 1, the variable "jsonQuery" is assigned the value of "req.query.query". The code snippet includes four lines where variables are defined and assigned values from the request query object. The background has a gradient blue color.

セキュリティ負債の削減

構築中もコードを継続的にスキャンするGitHub Code Securityは、脆弱性を早期に検出、Copilot Autofixですばやく修正して、セキュアなソフトウェアをリリースできます。

The image displays a dashboard for an SQL injection (CWE-89) campaign aimed at remediating Cross-Site Scripting (XSS) vulnerabilities. The dashboard has three main sections: Campaign progress, Status, and Copilot Autofix.

In the Campaign progress section, it shows 97% completion with 701 alerts, where 701 are closed and 13 are in progress. It also notes that the campaign started 20 days ago.

The Status section indicates there are 7 days left until the deadline on November 15, 2024.

The Copilot Autofix section mentions that there are 670 supported alerts and provides information about how Copilot Autofix can help fix these alerts automatically.

リスクの早期発見

依存関係レビューアクションを使用して新たな依存関係を特定し、脆弱性やライセンスの問題をチェックしましょう。

The image shows a "Dependency Review" report generated by the GitHub Actions bot. The report lists the following issues: 0 vulnerable packages, 1 package with incompatible licenses,  and 0 packages with unknown licenses. Each issue has a "Details" link next to it for more information.
脆弱性をフラグし、修正を瞬時に提案することでセキュリティを合理化するCopilot Autofixは、コードをセキュアに保ちながら、チームが戦略的な作業に集中できるようにします。”
otto group logo
Mario LandgrafOttoグループ、セキュリティ担当コミュニティマネージャー

セキュアなソフトウェアを構築

セキュリティは、後付けではなく、最初から組み込むことができます。Code Securityを使用して脆弱性の発見、修正、予防をシームレスに行い、開発からデプロイまで堅牢で柔軟なソフトウェアを構築しましょう。

デモを申し込むプランと料金をチェック

よりセキュアなソフトウェアのためのベストプラクティス

開発者ファーストのセキュリティを理解する

アプリケーションセキュリティの現状を詳しく理解しましょう。

ウェビナーを視聴する

DevSecOpsガイドを調べる

DevSecOpsを活用して最初からよりセキュアなコードを作成する方法を学びましょう。

ホワイトペーパーを読む

アプリケーションセキュリティの落とし穴を回避

アプリケーションセキュリティの一般的な落とし穴と、それらを回避する方法を探りましょう。

ホワイトペーパーを読む

よくある質問

コードセキュリティとは?

GitHub Code Securityは、開発スピードを落とすことなくコードをセキュア化できるようにします。チームは、既存のGitHubワークフロー内でセキュリティ問題の検出、優先順位付け、修復のすべてを自動的に行うことができ、組み込み型の静的解析、AI駆動の修復、高度な依存関係スキャン、プロアクティブな脆弱性管理も可能なため、セキュアなソフトウェアをより迅速に、確信を持って提供することができます。

Copilot Autofixとは?

Copilot Autofixは、AI 駆動のコード提案を使用してCodeQLが特定したセキュリティの脆弱性を自動的に修正します。セキュリティの脆弱性が検出されると、Copilot Autofixがコードのコンテキストを分析し、根本的なセキュリティ問題を把握して、コンテキストに適切な修正を生成します。この機能は、脆弱性の検出と修復の間にあるギャップを埋めるために、開発者がAIから提案された修正をワークフロー内で直接レビューし、適用できるようにします。

セキュリティキャンペーンとは?

セキュリティキャンペーンは、複数のリポジトリとチーム全体でセキュリティ修正を計画、追跡、実装するための構造化されたフレームワークを提供し、セキュリティ負債を体系的に解消できるようにします。セキュリティキャンペーンを活用することで、セキュリティチームは関連する脆弱性をグループ化し、オーナーをアサイン、修正の優先順位を付け、統合ダッシュボードを通じて進捗状況を監視できます。セキュリティキャンペーンは、脆弱性タイプ、セキュリティイニシアチブ、コンプライアンス要件、またはその他の論理グループ別に分類でき、セキュリティ改善を大規模に調整することができます。

依存関係分析とは?

依存関係レビューは、プルリクエストがコードベースに導入される前に脆弱な依存関係をスキャンします。依存関係の変更によるセキュリティ上の影響を評価して脆弱なパッケージとそれらのセキュリティ レベルを特定し、セキュリティ問題がマージされないようにします。ベースブランチとヘッドブランチを比較することで依存関係変更の詳細を表示するこのツールは、追加、削除、更新された依存関係と、それらの既知の脆弱性を明らかにします。

EPSSとは?

DependabotアラートにグローバルなForum of Incident Response and Security Teams(FIRST)の Exploit Prediction Scoring System(EPSS)が搭載され、脆弱性リスクをよりよく評価できるようになりました。EPSSは、今後30日間に脆弱性が悪用される可能性を予測することで、組織が脆弱性修復の優先順位を判断できるようにします。0から1(0~ 100%)のスコアを提供するとともに、脆弱性を他の脆弱性と比較するパーセンタイルランクも提供します。