GitHubのAgentic Autofixは、code scanning alertを単発のsuggested patchではなく、Copilot cloud agentへ作業として割り当てる。agentは関連fileを調べ、修正し、CodeQLを再実行してalertが閉じることを確認し、draft pull requestを作る。検証が含まれる点は有用だが、CodeQLが通ることと業務仕様・認可・性能が正しいことは別である。通常のreview gateを省略しない導入が必要になる。
何が変わったか
code scanning alertの「Generate Fix」は、Copilotへ割り当てるAgentic Autofixへ置き換えられた。単一alertだけでなく、alert一覧やsecurity campaignから複数alertを一つのPRで修正できる。REST APIではalertのassigneesへcopilot-swe-agent[bot]を指定して起動できる。
変更前後の差
従来のautofixは個別alertに対する修正案が中心だった。Agentic Autofixはrepository内を横断探索し、必要なら反復し、CodeQL再実行の結果を含むdraft PRを作成する。生成には通常2~4分と案内されているが、repository規模、tool実行、Actions queueで変動し得る。
誰に影響するか
GitHub Code SecurityまたはGitHub Advanced Securityを契約し、Copilot licenseとCopilot cloud agentを有効にしている組織が対象となる。enterprise・organization・repositoryのpolicyで無効化できる。public preview中もAI Creditsを消費し、agent活動はGitHub Actions minutesも消費する。
期限
強制導入期限はない。preview機能のため、まず特定language、repository、alert categoryだけを対象にする。classicとagenticのautofixをpolicyで同時に無効化する場合があるため、停止手順を事前に確認する。
必要な対応
対象alertのrisk tierを決め、認証・暗号・権限・data migrationなど高影響修正は自動merge対象から外す。draft PRに通常のunit、integration、security、performance testを要求し、CODEOWNERSとbranch protectionを維持する。複数alertをまとめる場合は原因と修正が独立しているか確認する。
実装・移行手順
- 対象repositoryとalert分類を限定する
- Copilot cloud agentと必要license・policyを確認する
- 既知の低リスクalertをCopilotへ割り当てる
- PRの変更範囲、説明、CodeQL再実行結果を確認する
- 通常のCIとsecurity reviewを実行する
- stagingで回帰・性能・権限を確認する
- AI Credits、Actions minutes、修正時間を計測する
- 誤修正時のrevertとfeature停止を演習する
失敗しやすい点
CodeQL alertが閉じたことを脆弱性解決の十分条件と考える、複数alertを大きなPRへまとめる、generated testだけで承認する、agentへ広いsecret・network権限を与える、AI Creditsの予算上限を設定しない、といった問題が起きやすい。修正PRへの追加指示も変更範囲を拡大するため再reviewする。
リスク
誤った修正で互換性や認可を壊す、脆弱な代替実装へ置き換える、PRが大きくなりreview不能になる、agent実行が費用を増やすリスクがある。security alertには機密なcode contextが含まれるため、Copilot利用policyとcontent exclusionの適用範囲も確認する。
評価方法
- alert割当からdraft PRまでの時間
- 人手修正なしで受理できた割合
- CodeQL以外のtest失敗率
- reviewでの重大修正要求数
- revert・再openされたalert数
- alert一件当たりAI CreditsとActions minutes
- 複数alert PRの平均変更file数
ロールバック
PRをmerge前ならcloseし、alertのassigneeを解除する。merge後に問題があれば通常のrevert PRを使い、force pushしない。enterpriseまたはrepository settingでCopilot Autofixを無効化し、手動triageへ戻す。agentが変更したsecretや設定がないかも確認する。
編集部分析
Agentic Autofixの本質は修正案生成ではなく、探索・変更・検証・PR作成を一つのagent taskへまとめた点にある。人手の価値は消えず、仕様上の正しさと変更影響を判断する位置へ移る。採用率だけでなく、review時間と再発率まで測らなければ効果を過大評価する。
実務チェックリスト
- [ ] 対象alertとrepositoryを限定した
- [ ] cloud agentの権限を確認した
- [ ] branch protectionとCODEOWNERSを維持した
- [ ] CodeQL以外の回帰testを実行した
- [ ] AI CreditsとActions minutesを監視した
- [ ] 高影響修正を自動merge対象から外した
- [ ] close・revert・機能停止を演習した