42Crunchは、GitHub Copilot向け「42Crunch APIセキュリティテストプラグイン」の提供開始を発表しました。この最新機能により、開発者はAIを活用した開発ワークフローの中で、APIセキュリティの脆弱性を継続的に監査・テスト・修正・検証できるようになります。
攻撃の増加に伴い、拡大し続けるAPIの管理に組織は苦慮しており、AIがAPIに大きく依存していることがこの問題をさらに深刻化させています。そのため、APIのセキュリティテストは、セキュリティチームとエンジニアリングチームにとって重点課題の一つとなっています。
GartnerのVPアナリストであるウィリアム・デュプレ氏は次のように述べています。「管理フェーズにおけるテスト機能を土台として、APIテスト能力を最適化した組織は、仕様書を活用してAPIテストをさらに自動化するようになるでしょう。各種APIテストツールは仕様書を用いることで、APIに対する機能テストおよびセキュリティ重視のテストを実行できます。こうした取り組みはビルドパイプラインで自動化され、APIのセキュリティ脆弱性についての即時フィードバックが開発チームに届くようになります。」
GitHub CPOのマリオ・ロドリゲス氏は、「エージェント型ワークフローが標準となる中、リポジトリの作成、プルリクエストの活動、そしてAPIの利用がいずれも加速しており、その勢いは衰える気配がありません。GitHubだけを見ても、コミット数は前年比でほぼ倍増し、月間14億件を突破しています。また、GitHub Actionsの実行時間は週あたり20億分を超えています」と述べました。
ロドリゲス氏はさらに、「この需要に応え、すべての開発者——そして今やそのエージェントも——のホームであり続けるために、私たちはスタックのあらゆる層で基盤システムのスケーリングを進め、すべてのサービスにおける回復性・セキュリティ・安定性の向上に取り組んでいます」と付け加えました。
Veracodeが昨年報告したところによれば、AIが生成したコードのほぼ半数(45%)に既知のOWASP Top 10の脆弱性が含まれています。また、セキュリティコンサルティング会社Upguardの調査では、セキュリティリーダーの88%が未承認のAIを日常業務に取り込んでいることを認めています。
APIにとって、この課題は特に深刻です。APIは現代のアプリケーション、AIエージェント、そしてエンタープライズシステムの運用基盤となっています。開発者がAIコーディングアシスタントを活用してAPI仕様書やインテグレーション、アプリケーションロジックを生成するケースが増える中、手動によるセキュリティレビューがボトルネックとなり、エンタープライズにおけるAI導入を遅らせるリスクが高まっています。
42CrunchのCEO、ジャック・デクラ氏は、「ソフトウェア開発の未来とは、単にAIがより多くのコードを生成することではありません。組織が信頼できるコードをAIが生成することです」と述べました。
「GitHub CopilotをはじめとするAIコーディングアシスタントは開発速度を劇的に向上させていますが、同時に根本的な課題を浮き彫りにしています。人間によるセキュリティレビューは、AIが生み出すアウトプットと同じ速度でスケールすることができません。組織には、AIが生成するのと同じスピードでAPIセキュリティの問題を検証・管理・修正できる、確定的なセキュリティガードレールが必要です。42Crunch APIセキュリティテスト GitHub Copilotプラグインは、まさにその機能を提供します」と、デクラ氏は続けました。
GitHub Copilot向け42Crunch APIセキュリティテストプラグインは、確定的なAPIセキュリティガードレールを開発ワークフローに直接組み込むことで、この課題に対応しています。
プラグインが継続的に行う処理は次のとおりです。
- 新規API定義時にOpenAPI仕様書を監査
- APIセキュリティの脆弱性とガバナンス違反を検出
- OWASP APIセキュリティTop 10リスクを特定
- AIを活用した修正ガイダンスを提供
- 自動テストによる修正内容の検証
- 組織のAPIセキュリティ基準とポリシーを適用
APIセキュリティの検証を自動化することで、セキュリティが後工程のレビュープロセスになることなく、AIを活用した開発と同じペースで拡張されることを組織は確保できます。
翻訳元: https://www.helpnetsecurity.com/2026/06/18/42crunch-api-security-testing-plugin-for-github-copilot/
