GitHubは2026年6月11日(現地時間)、同社のセキュリティ機能である秘密情報スキャン(secret scanning)において、誤検知(false positives)の大幅な削減に成功したと発表した。Microsoft Security & AIのAgents Offenseチームとの協力により、文脈を考慮したLLMベースの検証アプローチを導入。これにより、開発者が対処すべき実際のセキュリティ問題に集中できる環境を提供する。
秘密情報スキャンは、開発者や組織を保護し、漏洩した認証情報を早期に発見し、小さなミスが実際のインシデントに発展することを防ぐ役割を担う。GitHubの規模では、誤検知が多いことがアラートの信頼性を低下させ、開発者が実際の課題解決よりもトリアージ(優先順位付け)に時間を費やすという課題があった。
GitHubは現在、パターンベース検出とAIベース検出を組み合わせて潜在的な秘密情報を特定している。今回の協力は、GitHubの大規模検出パイプラインにLLMベースの文脈検証を統合することで、AIを活用した汎用秘密情報検出の精度を向上させることに焦点を当てた。このアプローチは、検出された値がコード内でどのように使用されているかを確認し、実際の漏洩と見せかけの値とを区別する。具体的な方法として、値がAPIリクエストや認証ヘッダー、データベースクライアント、クラウドSDKコールなどで使用されているかといった高シグナル情報を抽出することで、全体ファイルやリポジトリの大量データ分析を避け、高い精度と低レイテンシを実現する。
マリコ・ワカバヤシ (Mariko Wakabayashi) 氏らによるこのアプローチは、数百件の顧客が確認した誤検知アラートで評価された。目標としていた65%削減を上回り、75.76%の削減を達成した。これにより、開発者のエクスペリエンスが向上し、不要なアラートの減少により、実際のセキュリティリスクへの対応が迅速化する。GitHubは、このアプローチをより大規模なデータセットとライブトラフィックで評価し続け、文脈抽出と検証方法の改善を進めるとしている。
参考: GitHub Blog (AI) — 2026年6月12日 01:00 (JST)
原文ハイライト"Reducing false positives has been a consistent need at scale."