GitHubのAgentic Autofixは、code scanning alertを単発のsuggested patchではなく、Copilot cloud agentへ作業として割り当てる。agentは関連fileを調べ、修正し、CodeQLを再実行してalertが閉じることを確認し、draft pull requestを作る。検証が含まれる点は有用だが、CodeQLが通ることと業務仕様・認可・性能が正しいことは別である。通常のreview gateを省略しない導入が必要になる。

何が変わったか

code scanning alertの「Generate Fix」は、Copilotへ割り当てるAgentic Autofixへ置き換えられた。単一alertだけでなく、alert一覧やsecurity campaignから複数alertを一つのPRで修正できる。REST APIではalertのassigneescopilot-swe-agent[bot]を指定して起動できる。

変更前後の差

従来のautofixは個別alertに対する修正案が中心だった。Agentic Autofixはrepository内を横断探索し、必要なら反復し、CodeQL再実行の結果を含むdraft PRを作成する。生成には通常2~4分と案内されているが、repository規模、tool実行、Actions queueで変動し得る。

誰に影響するか

GitHub Code SecurityまたはGitHub Advanced Securityを契約し、Copilot licenseとCopilot cloud agentを有効にしている組織が対象となる。enterprise・organization・repositoryのpolicyで無効化できる。public preview中もAI Creditsを消費し、agent活動はGitHub Actions minutesも消費する。

期限

強制導入期限はない。preview機能のため、まず特定language、repository、alert categoryだけを対象にする。classicとagenticのautofixをpolicyで同時に無効化する場合があるため、停止手順を事前に確認する。

必要な対応

対象alertのrisk tierを決め、認証・暗号・権限・data migrationなど高影響修正は自動merge対象から外す。draft PRに通常のunit、integration、security、performance testを要求し、CODEOWNERSとbranch protectionを維持する。複数alertをまとめる場合は原因と修正が独立しているか確認する。

実装・移行手順

  1. 対象repositoryとalert分類を限定する
  2. Copilot cloud agentと必要license・policyを確認する
  3. 既知の低リスクalertをCopilotへ割り当てる
  4. PRの変更範囲、説明、CodeQL再実行結果を確認する
  5. 通常のCIとsecurity reviewを実行する
  6. stagingで回帰・性能・権限を確認する
  7. AI Credits、Actions minutes、修正時間を計測する
  8. 誤修正時のrevertとfeature停止を演習する

失敗しやすい点

CodeQL alertが閉じたことを脆弱性解決の十分条件と考える、複数alertを大きなPRへまとめる、generated testだけで承認する、agentへ広いsecret・network権限を与える、AI Creditsの予算上限を設定しない、といった問題が起きやすい。修正PRへの追加指示も変更範囲を拡大するため再reviewする。

リスク

誤った修正で互換性や認可を壊す、脆弱な代替実装へ置き換える、PRが大きくなりreview不能になる、agent実行が費用を増やすリスクがある。security alertには機密なcode contextが含まれるため、Copilot利用policyとcontent exclusionの適用範囲も確認する。

評価方法

  • alert割当からdraft PRまでの時間
  • 人手修正なしで受理できた割合
  • CodeQL以外のtest失敗率
  • reviewでの重大修正要求数
  • revert・再openされたalert数
  • alert一件当たりAI CreditsとActions minutes
  • 複数alert PRの平均変更file数

ロールバック

PRをmerge前ならcloseし、alertのassigneeを解除する。merge後に問題があれば通常のrevert PRを使い、force pushしない。enterpriseまたはrepository settingでCopilot Autofixを無効化し、手動triageへ戻す。agentが変更したsecretや設定がないかも確認する。

編集部分析

Agentic Autofixの本質は修正案生成ではなく、探索・変更・検証・PR作成を一つのagent taskへまとめた点にある。人手の価値は消えず、仕様上の正しさと変更影響を判断する位置へ移る。採用率だけでなく、review時間と再発率まで測らなければ効果を過大評価する。

実務チェックリスト

  • [ ] 対象alertとrepositoryを限定した
  • [ ] cloud agentの権限を確認した
  • [ ] branch protectionとCODEOWNERSを維持した
  • [ ] CodeQL以外の回帰testを実行した
  • [ ] AI CreditsとActions minutesを監視した
  • [ ] 高影響修正を自動merge対象から外した
  • [ ] close・revert・機能停止を演習した

一次情報