新規安全・障害
GitHub
セキュリティ
GitHub Code ScanningのAI security detections、PR上の参考情報をどう運用するか
GitHub Code ScanningがCodeQL未対応の言語やframeworkをAIで分析し、PRへAIラベル付きfindingを表示するpublic previewを開始した。findingはmergeを止めないため、triage基準とAI Credits予算を別途設計する必要がある。
- 影響
- GitHub Code Security、CodeQL default setup、GitHub Copilotを利用するenterprise・organization・repository
- 対応
- pilot repositoryを限定し、AI findingのtriage、誤検知、merge gate、AI Credits消費を計測してから展開する
- 期限
- 期限なし