GitHub Copilot

GitHub Copilotアプリに /security-review:進行中の変更を脆弱性スキャン(パブリックプレビュー)

GitHub Copilotアプリに`/security-review`スラッシュコマンドがパブリックプレビューで追加された。進行中のコード変更を対象に、インジェクション・XSS・安全でないデータ処理・パストラバーサル・脆弱な暗号化などをスキャンし、重大度・確信度でスコアリングした指摘とその場で適用可能な修正提案を提供する。Copilot Free/Pro/Business/Enterpriseの全プランで利用可能。

ニュース原文を読む ↗

要約

GitHub Copilotアプリに/security-reviewスラッシュコマンドが追加されました(パブリックプレビュー)。進行中のコード変更を対象に、インジェクション・XSS・安全でないデータ処理・パストラバーサル・脆弱な暗号化などの脆弱性をスキャンし、重大度・確信度でスコアリングされた高確度の指摘と、その場で適用可能な修正提案を提示します。

Copilot CLIには2026年6月時点で同種の/security-reviewコマンドが実験的プレビューとして提供されていましたが、今回Copilotアプリ側にも展開されました。Free/Pro/Business/Enterpriseの全プランで利用可能です。

何が変わったか

  • /security-reviewコマンド追加: Copilotアプリで進行中のコード変更に対する脆弱性スキャンを実行可能
  • 検出対象: インジェクション、XSS、安全でないデータ処理、パストラバーサル、脆弱な暗号化
  • 出力形式: 重大度・確信度スコア付きの指摘とその場で適用可能な修正提案
  • 提供プラン: Free / Pro / Business / Enterprise の全プラン(CLI版のような実験モード有効化は不要)
  • 位置付け: Code Scanning・Dependabotなど既存のセキュリティツールを置き換えず補完する

業務インパクト(一般企業向け)

これまでのセキュリティレビューは、CIでのCode Scanning結果確認やSAST導入が中心で、「PRを出した後」に指摘が返ってくる運用が一般的でした。Copilotアプリに/security-reviewが入ったことで、開発者がコードを書いている最中・PRを出す前の任意のタイミングで脆弱性チェックを挟めるようになります。

重要なのは、これが単発の目新しい機能ではなく、CLI→アプリと展開が広がっている点です。開発者がどのインターフェース(CLI・アプリ)を使っていても同じセキュリティレビュー体験を得られるようになりつつあり、「気が向いたら使う機能」から「PRフローに恒常的に組み込まれるAI脆弱性レビュー」へと位置づけが変わりつつあります。全プランで利用可能なため、追加ライセンスやプラン変更なしに、チーム全体でセキュリティレビューの習慣化を始められます。

導入時は、Code Scanning・Dependabotを置き換えるのではなく、その手前に立つ「最初の目」として運用フローに組み込むのが現実的です。パブリックプレビュー段階のため、指摘の精度は既存のSASTツールと並行して検証する期間を設けることを推奨します。

副業・個人活用視点

個人開発や受託案件でCopilotアプリを使っている場合、コミット前・PR前に/security-reviewを走らせる習慣を作ることで、追加ツールなしにセキュリティ観点のセルフチェックができます。クライアントへの納品物に対して「AIによる脆弱性レビューを実施した」という一言を添えられる根拠にもなります。パブリックプレビューで誤検知の可能性もあるため、修正提案はそのまま適用せず、内容を確認してから採用する運用が安全です。

github-copilot security code-review preview enhancement