GXO
システム開発

GitHubのAIセキュリティ検出はPRを止めない|/security-reviewからmergeまでの100点設計

11分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

システム開発

結論:AI findingを「通知」から「merge判断の証拠」へ変換する

GitHubは2026年7月14日、AIを使ったcode security reviewに関する2つの更新を発表しました。

  • GitHub Copilot appで/security-reviewを実行し、作業中の変更へhigh-confidence finding、severity・confidence、修正提案を返すpublic preview
  • GitHub code scanningがPull Request上へAI-powered security detectionを表示するpublic preview。CodeQLが未対応の言語・frameworkへ範囲を広げ、AI alertにはAI labelが付く

後者の重要な限定条件は、AI findingはinformationalであり、Pull Requestのmergeをblockしないことです。利用にはenterprise policy、organizationでの有効化、repositoryのCodeQL default setup、GitHub Code Securityが関係し、public preview中はGitHub Copilot licenseとorganizationのAI creditsを使うとされています。

この記事は、AI開発を内製・外注する経営者、CTO、開発責任者、発注・受入責任者向けです。作る相談はtool導入ではなく、AI findingをRFP、PR、例外承認、納品判定へつなぐDevSecOps・code受入診断です。

RESTAURANT DX

店長の経験と勘を、仕組みで再現できる店舗にしませんか?

発注/シフト/予約/FLコストを標準化する多店舗飲食特化のDX。食材ロス削減・インバウンド対応まで概算費用をその場で示します。

飲食DXの概算を見る

2つのAI reviewをどう使い分けるか

横にスクロールして確認できます

段階公式機能役割残る判断
作業中Copilot app /security-review現在の変更をon-demand確認し、修正・再確認実行したか、何を直したか、未検出範囲
PRAI security detectionsPR更新時にAI findingを表示、広い言語・frameworkを補完informational findingを誰がmerge判断するか
既存統制CodeQL、Dependabot、secret scanning等規則、依存、secretなど別signalを検査複数結果の優先順位と例外
人・業務security review、test、発注者受入architecture、data、権限、業務影響を確認最終責任と納品可否

/security-reviewはinjection、XSS、insecure data handling、path traversal、weak cryptographyなど共通の高影響classを対象例として挙げています。すべての脆弱性検出や安全性を保証するものではありません。

AI review導入で起きる5つの失敗

  1. 表示されたらmergeが止まると思う。 informational findingのまま承認・mergeされます。
  2. high-confidenceだけで安全とする。 未検出、architecture、business logic、権限組合せが残ります。
  3. AI提案をそのまま適用する。 修正が仕様・性能・別のsecurityを壊す可能性があります。
  4. CodeQL default setupを形式的に入れる。 repository・branch・language・generated codeの対象差を確認しません。
  5. AI creditsを無制限に使う。 対象repo、実行頻度、効果、false positive、review時間を測りません。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

GXO式「AI security review→merge 5ゲート100点」

横にスクロールして確認できます

ゲート配点満点の証拠レッドフラグ
対象・coverage20repo、branch、language、framework、data flow、scan toolをmatrix化有効化済みだけ
finding証拠20rule/AI、severity、confidence、code path、再現、影響を記録screenshotだけ
修正・再検証20test、再scan、regression、security review、差分を保存AI patchを即merge
merge・例外25block条件、reviewer、exception理由・期限・代替策をruleset/手順へ反映informationalを放置
費用・運用15license、AI credits、Actions、review工数、検出・修正KPIを測定scan回数を成果にする

合計点に関係なくmergeを止める条件

  • authentication、authorization、payment、個人・機密dataに関する未解決finding
  • injection、path traversal、secret、任意code実行の再現可能な経路
  • AI findingをdismissした理由・承認者・期限・代替策がない
  • scan対象外の主要language・generated code・submoduleがあるのに補完reviewがない
  • 外注先が結果・設定・logを発注者へ引き渡さない

仮想記入例:外注開発の顧客portal

横にスクロールして確認できます

ゲート得点不足
対象・coverage15/20frontendは対象、IaCとbatchが未確認
finding証拠12/20AI label 4件、再現手順なし
修正・再検証10/20提案patch適用後の権限test不足
merge・例外8/25AI findingはinformationalのまま、block ruleなし
費用・運用7/15AI creditsとreview工数を未集計
合計52/100納品mergeを止め、受入条件を再設定

発注者は、認証・個人dataのfindingを0にするだけでなく、再現、修正PR、test、再scanを納品物にします。誤検知としてdismissする場合も、理由、code owner、security reviewer、期限、代替testを残します。

RFP・契約へ入れる受入条件

  • 対象repository、branch、language、IaC、dependency、secretのscan範囲
  • Critical/High、認証・権限・個人dataの未解決時は納品不可
  • AI findingとrule-based findingを区別したexport
  • 修正PR、再現手順、test、再scan、dismiss理由の提出
  • false positive・例外の承認者、期限、代替control
  • GitHub設定、workflow、ruleset、SARIF、runbookの引渡し
  • license・AI credits・Actions・追加review費の負担区分

開発会社へ確認する10問

  1. /security-reviewは誰がどの時点で実行するか
  2. PR AI detectionがinformationalであることを手順で補うか
  3. CodeQL対象外のlanguageを何で補完するか
  4. AI suggestionの誤修正をどのtestで防ぐか
  5. architecture・business logic・権限は誰がreviewするか
  6. findingのdismiss権限と承認経路は何か
  7. branch・fork・generated codeの未scan範囲は何か
  8. AI credits・Actions・review工数を誰が負担するか
  9. 納品時に何の証拠をexportするか
  10. 契約終了後も同じgateを運用できるか

GXOのDevSecOps支援では、scan、merge gate、例外、証拠、発注条件を設計します。AI固有のprompt・tool・data riskは生成AIセキュリティ、開発会社の提案・見積・納品条件はシステム開発セカンドオピニオンへ接続します。

FAQ

新しいAI findingは自動でmergeをblockしますか

GitHubの2026年7月14日発表ではinformationalで、PR mergeをblockしないと明記されています。組織の手順・ruleset・required reviewで判断を補います。

/security-reviewだけでcode scanningは不要ですか

不要にはなりません。作業中のon-demand reviewを、CodeQL、dependency、secret、PR、architecture、人reviewと組み合わせます。

AI reviewの費用は無料ですか

機能ごとに条件が異なります。PR AI detectionはpublic preview中もCopilot licenseとAI creditsが関係します。最新のlicense・billing文書を確認してください。

出典・確認日

public previewの機能、license、AI credits、対応範囲、merge仕様は変更される可能性があります。最新のGitHub公式文書と組織設定を確認してください。AI検出は脆弱性の完全検出や安全性を保証しません。本記事の配点と仮想例はGXO独自です。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

FREE DOWNLOAD

この記事と関連する 実践資料

費用相場、選定チェックリスト、補助金活用など、続きをより深く掘り下げた資料を無料でダウンロードできます(営業電話なし / 即DL / 社内共有OK)。

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK