GitHub Code Securityは、開発スピードを落とすことなくコードをセキュア化できるようにします。チームは、既存のGitHubワークフロー内でセキュリティ問題の検出、優先順位付け、修復のすべてを自動的に行うことができ、組み込み型の静的解析、AI駆動の修復、高度な依存関係スキャン、プロアクティブな脆弱性管理も可能なため、セキュアなソフトウェアをより迅速に、確信を持って提供することができます。

Copilot Autofixは、AI 駆動のコード提案を使用してCodeQLが特定したセキュリティの脆弱性を自動的に修正します。セキュリティの脆弱性が検出されると、Copilot Autofixがコードのコンテキストを分析し、根本的なセキュリティ問題を把握して、コンテキストに適切な修正を生成します。この機能は、脆弱性の検出と修復の間にあるギャップを埋めるために、開発者がAIから提案された修正をワークフロー内で直接レビューし、適用できるようにします。

セキュリティキャンペーンは、複数のリポジトリとチーム全体でセキュリティ修正を計画、追跡、実装するための構造化されたフレームワークを提供し、セキュリティ負債を体系的に解消できるようにします。セキュリティキャンペーンを活用することで、セキュリティチームは関連する脆弱性をグループ化し、オーナーをアサイン、修正の優先順位を付け、統合ダッシュボードを通じて進捗状況を監視できます。セキュリティキャンペーンは、脆弱性タイプ、セキュリティイニシアチブ、コンプライアンス要件、またはその他の論理グループ別に分類でき、セキュリティ改善を大規模に調整することができます。

依存関係レビューは、プルリクエストがコードベースに導入される前に脆弱な依存関係をスキャンします。依存関係の変更によるセキュリティ上の影響を評価して脆弱なパッケージとそれらのセキュリティ レベルを特定し、セキュリティ問題がマージされないようにします。ベースブランチとヘッドブランチを比較することで依存関係変更の詳細を表示するこのツールは、追加、削除、更新された依存関係と、それらの既知の脆弱性を明らかにします。

DependabotアラートにグローバルなForum of Incident Response and Security Teams(FIRST)の Exploit Prediction Scoring System(EPSS)が搭載され、脆弱性リスクをよりよく評価できるようになりました。EPSSは、今後30日間に脆弱性が悪用される可能性を予測することで、組織が脆弱性修復の優先順位を判断できるようにします。0から1(0~ 100%)のスコアを提供するとともに、脆弱性を他の脆弱性と比較するパーセンタイルランクも提供します。