GitHub、第三者コーディングエージェントのコードを自動セキュリティ検証——CodeQL・依存・シークレットを点検

GitHubは2026年6月9日、第三者のコーディングエージェントが生成したコードを、配置前に自動でセキュリティ検証する機能を一般提供したと発表しました。ClaudeやOpenAI Codexといった外部のエージェントが書いたコードも対象で、人手を介さずに脆弱性などを点検します。AIエージェントがコードを書く場面が増えるなかで、その安全性を底上げする仕組みです。

図版: GitHubの発表内容をもとに作成（出典: The GitHub Blog）

第三者エージェントのコードを自動検証

今回の機能は、外部のコーディングエージェントが生成したコードを、リポジトリに取り込む前に自動でチェックするものです。GitHub自身のCopilotだけでなく、他社のエージェントが書いたコードも検査の対象になります。

AIにコードを書かせる開発が広がる一方で、その出力に脆弱性や機密情報が紛れ込むリスクは見過ごせません。GitHubは、誰が書いたコードであっても同じ基準で安全性を担保する仕組みとして、この検証機能を位置づけています。

3つの検査: CodeQL・依存・シークレット

検証では、主に3種類のチェックが行われます。1つ目はCodeQLによる解析で、潜在的な脆弱性を洗い出します。2つ目は依存関係の照合で、新たに追加されたパッケージをGitHub Advisory Database（脆弱性データベース）と突き合わせます。

3つ目はシークレット検出で、APIキーやトークンといった機密情報がコードに露出していないかを調べます。脆弱性・危険な依存・機密情報の漏れという、コード生成で起きがちな3つの落とし穴を、まとめて点検する構成です。

問題があればエージェントが修正してからPR

検査の流れも実用的です。第三者のエージェントがリポジトリにコードを作成すると、GitHubが自動でCodeQL解析・依存関係の照合・シークレット検出を実行します。

そこで問題が見つかった場合は、エージェントがプルリクエストを確定させる前に、自ら解決を試みるとされています。人間がレビューで指摘する前の段階で、エージェント自身が手直しする形です。これにより、危険なコードがそのまま取り込まれる前に食い止められます。

ClaudeやCodexにも対応

対応するエージェントの幅広さも特徴です。GitHub Copilotに加えて、ClaudeやOpenAI Codexといった第三者のエージェントが書いたコードも検証の対象になります。

開発チームでは、複数のAIエージェントを併用する場面が増えています。どのエージェントを使っても一律のセキュリティ基準が適用されるため、ツールごとに安全対策がばらつくのを防げます。エージェントを組み合わせて使う現場にとって、安心材料になる仕組みです。

既定で有効、Advanced Securityは不要

導入のハードルも低く設定されています。この機能はリポジトリのCopilot設定に従って既定で有効になり、GitHub Advanced Securityのライセンスは必要ありません。

GitHubによると、2025年10月の提供開始以降、この仕組みは数百件にのぼる潜在的な脆弱性を未然に防いできたとされます。AIエージェントにコードを任せるチームは、まず自分のリポジトリでこの検証が有効になっているかを確認し、生成されたコードがどう点検されるかを把握しておくとよさそうです。

Source The GitHub Blog

Security validation for third-party coding agents

Code generated by third-party agents will receive automatic security and quality validation.