Alternative Architecture DOJO

オルターブースのクラウドネイティブ特化型ブログです。

GitHub Universe 2023 - GitHubが新たに発表したAI搭載セキュリティとは?

久しぶりの投稿となります、オルターブースの清島です!
本日から2日間開催される「GitHub Universe 2023」に現地参加し、1日目の下記セッションを会場で観覧しましたので、その内容や所感をざっくりまとめたいと思います!

Redefining the next decade of cybersecurity: AI-powered security built to empower developers reg.githubuniverse.com

セッション内容

セキュアでないコードの自動修正

GitHubはリポジトリ上のソースコードに潜むセキュリティ脆弱性の対策として、GitHub Advanced Securityというサービスをリリースしています。

そのうち、ソースコードを解析しセキュリティ的に問題のある箇所を検知・アラートするCode scanningという機能がありますが、その中に検知したセキュアでないコードの自動修正機能が追加されると発表されました。

この自動修正の提案はプルリクエストとして受け取ることができるため、どこに脆弱性があったのか、どうすれば修正できるかを素早く確認できるのみならず、ボタンをクリックするだけでその提案をコミットすることさえできてしまうそうです!

AIによるシークレット情報検出

前述のGitHub Advanced Securityには、Secret scanningという強力なセキュリティ機能があります。
これによりアクセスキーやトークンなどの秘匿情報をソースコード上から検出しアラートを出したり、そのコミットのプッシュを実行させないようにすることができます。

このSecret scanningに追加されるのがパスワード検出です。

パスワードはアクセスキーやトークンのように文字列に規則性がなく、従来では検出が難しい文字列でしたが、AI搭載によりそれが実現可能となりました。

それだけでなく、AIによるSecret scanningのカスタマイズ機能についてもアナウンスがありました。
「コミットしたくないのはこんな文字列です」という説明を自然言語で書くと、それに対応した正規表現が返却され、これをSecret scanningの対象に含めることができるようです。

かゆい所に手が届く、まさに開発体験をより向上させる機能となりそうですね!

セキュリティ対策の効果を可視化

セッションの中で、こんな問いがスピーカーから投げかけられました。

「どれだけ効果的にアプリケーションをセキュアにできていますか?」

私の意見ですが、セキュリティ対策は1つ1つの事象にフォーカスしがちで、それらを全体的に俯瞰し自分がどれだけうまくセキュアなアプリケーションを作れているかは評価が非常に難しいと思いました。

そのサポートをしてくれる機能、Security overviewが発表されました。

発見された脆弱性の時系列グラフや平均修復時間、Secret scanningにより脆弱性を未然に防いだ割合などがダッシュボードに視覚化され、チームで取り組んだ作業の効果を簡単に把握することができるとのことです。

所感

基調講演を皮切りに、GitHub Universe 2023では「AIによる開発体験の向上」を根幹に据え、「自然言語を新たなプログラミング言語にする」というテーマのもと様々なセッションが展開されていました。

今回取り上げたセッション「Redefining the next decade of cybersecurity: AI-powered security built to empower developers」もその例外でなく、AIがプログラミングにおける様々な障壁を限りなく取り除き、誰もがソフトウェア開発に参入できる世界を想像させる内容でした。

それはいわゆる「AIが私たちの仕事を奪う脅威」というよりは、むしろ「不要な作業やハードルをなくし、役職やスキルの垣根を超えて組織がイノベーションのために本当に必要なことに集中するチャンス」だと捉えています。

セッションの中で楽しそうに語りかけるスピーカー、そのスピーチに対し時折拍手や歓声を交ぜつつポジティブに反応するオーディエンスの様子を間近で見て、その考えがあながち間違いではないのかなと感じました!

オフライン・オンライン問わずGitHub Universe 2023に参加した皆さんが紡ぎだす未来に期待とワクワクでいっぱいになる、そんな現地参加1日目でした!


サービス一覧

www.alterbooth.com

cloudpointer.tech

www.alterbooth.com