米GitHub Kyle Daigle氏インタビュー：セキュリティからSBOM、コーディング支援まで、開発者に恩恵をもたらすGitHubの最新アップデートとは

今回は、米GitHubのVP of StrategyであるKyle Daigle氏にお話を伺う機会をいただいたので、その内容を紹介します。まず、GitHub Universeで発表した内容の概要と、その他の重要なアップデートについて説明いただき、その後で質疑応答を行いました。

Q:Kyleさん、技術面を中心に自己紹介をお願いします。

• Kyle:Kyle Daigleです。今回が初来日で、日本のお客様にお会いできてとても嬉しいです。私は10年ほどGitHubに在籍しています。最初の7年間はAPIにフォーカスしたエンジニアリング組織で、顧客やコミュニティがGitHubと統合できるようにすることに注力していましたが、(Microsoftによる)買収当時に顧客やビジネスとエンジニアリングチームをつなぐ、よりビジネスに近い役割に移りました。そして、今はGitHubネクストチームを率いて、長期的な研究を行っています。
  
  また、その他の戦略的な業務やビジネスオペレーションにフォーカスしています。コミュニケーションやプログラムマネジメントなどです。ということで、私は技術エンジニアリングとビジネスの両面も経験しています。
  
  今年の「GitHub Universe」は、かなり面白い内容になったと思います。今年の一番大きなものは「Codespaces」です。今回、このCodespacesでは、2コアCPUの環境で月60時間の無料利用期間を設けました。それにより、このCodespacesの利用が非常に増えてきています。
  
  次に紹介したいのは、音声で起動する「Hey, GitHub!」です。これを活用することで、コードをタイプする代わりに、GitHub Copilotに指示して書いてもらうことができるので、大変役立つと考えています。より多くの開発者が手を使えないような場合でも、日々のコーディングできるようになるのです。
  
  Codespacesについてはすでにお話しましたが、GitHubのプロジェクト管理機能は私がGitHubにいた10年間、あまり投資されてきませんでした。GitHubのプロジェクトの問題点などにも。私たちは、企業顧客とオープンソースの両方に対して、より強力なものを作っています。新しいGitHub Projectsではタイムライン表示が可能になり、このプロジェクトが実際にいつデプロイされるのかがわかるようになりました。
  
  Universeでは、新しいコード検索機能も発表しました。ここでも、以前のコード検索から大きく機能強化し、コードベースの検索がより簡単で強力になっただけでなく、新しいコードナビゲーションも搭載され、リポジトリ全体をより簡単に見られるようになりました。
  
  また、GitHub Actionsに関する大きな発表が3つありました。1つは、より強力なスペックのGitHubホステッドランナーです。2つ目は、他のCI/CDツールから「GitHub Actions」への移行を支援するツールである「GitHub Actions Importer」をオープンソースで公開したことです。最後は、Arm Virtual Hardwareサポートです。これで、組み込みのエンベデッドテクノロジーが使えるようになりました。
  
  他にもいくつか興味深い発表をしました。今年の私のチームの中には、2つの大きなことに焦点を当てたものがあります。1つは、オープンソースの開発者がキャリアとしてオープンソースを選択できるような方法を見つけることです。コミュニティ開発者を支援する機能として「GitHub Sponsors」という取り組みを2019年から実施しています。現在、GitHub Sponsorsでは、68地域で合計2500万ドルが寄付されています。そして、新たに「GitHub Accelerator^(*)」と呼んでいる全く新しいことを試みています。20名のメンテナやチームにフルタイムのオープンソースキャリアを開始するために、10週間のプログラムや2万ドルの奨学金、メンター制度を提供するものです。
  
  私たちのゴールは、オープンソースプロジェクトを完全に継続させ、継続的に仕事をしたいと考える企業と結びつけることです。この取り組みを春にはスタートする予定で、締め切りは2022年12月31日です。世界規模のプログラムなので、世界中から人を集めようと思っています。現時点では100人以上の応募があり、締め切りが近づくにつれ、さらに加速していくと思います。
  
  「GitHub Fund」では、開発者向けツール、特にオープンソースの開発者向けツールにフォーカスしています。マイクロソフトの投資部門である「M12」と提携し、これらの製品へのシードレベルの投資に特化した1,000万ドルの投資ファンドを提供することにしました。

*:GitHub Acceleratorの募集は終了しています。また、掲載している内容は取材当時のものです。

米GitHub VP of Strategy Kyle Daigle氏(右)

Q:昨年の12月のLog4Jの問題からセキュリティに関してさまざまな取り組みがなされていますが?

• Kyle:私たちが最近行った大きな取り組みは、プライベートな脆弱性報告です。私が人気のあるオープンソースプロジェクトのメンテナである場合、とても助かります。例えば、誰かが個人的に私に報告できる脆弱性を見つけます。GitHub上で プライベートに協力して、脆弱性を修正できます。次に、開示する準備ができたら、CVEに非公開で開示し、レジストリに公開します。これはまだリリースされてから数週間ですが、すでに1,000件を超えていると思います。

Q:SBOM(ソフトウェア部品表「Software Bill Of Materials」)を自動的に作成することを考えていますか?

• Kyle:はい、SBOMを生成できるGitHubアクションも公開されています。依存関係などを通じてデータを入手できますから、高度なセキュリティに直結する可能性があります。

Q:社内のリポジトリだけで「Copilot」を使うことはできますか?

• Kyle:Copilotはすべてクラウドで動いています。推論を行うために非常に多くのGPUが必要になるので、オンプレミスのみのサービスとしてCopilotを提供することはありませんが、オンプレミスで利用している当社のお客様でもCopilotを利用することは可能で、実際多くのお客様に利用していただいています。

Q:日本の企業は、独自のコーディングスタイルがありますが、対応することは可能ですか?

• Kyle:Copilotは、利用者がCopilotを使っているエディタ・IDE内で開いているファイルを読み込むことで、その標準をエミュレートします。例えば、GitHubでは変数などの命名規則があります。これは説明的であるべきで、「これはそうであってはならない」「これはこうだ」「スコア1以下のシーケンスです」、みたいな。そうすると、たとえ学習対象のコーパスがそのようなスタイルでなかったとしても、そのスタイルを模倣しようとします。コード補完は、明示的に「この名前を使ってください」と言うことはできません。しかし、Copilotはあなたのコードの文脈を理解するため対応可能です。
  
  また、通常私が申し上げているのは「ただ試してみて、同意書にサインしてください」ということです。あなたのコードで試してみてください。なぜなら、私たちが学んだことは、私たちが自分のソフトウェアについてユニークだと思っているのと同じくらい、Copilotのトランスフォーマーモデルは私たちのやっていることをすぐに理解し、同じ答えをすぐに出してくれるということです。

Q:ドキュメントを自動で作ってくれますか?

• Kyle:自動的にステップに分割して文書化することで可能になります。非常に長いメソッドがある場合は、論理的なステップに分割することができます。

Q:Copilotを使用するとセキュリティ上の問題が発生します。どうすれば良いのでしょうか?

• Kyle:Copilotを使っていてセキュリティの問題がある場合、CodeQLでコード解析を行なえるので、高度なセキュリティを持っていると言えます。私たちのチームでは、CEOのThomas Dohmkeが言ったようにCopilotを使っている人もいます。VS Code(Visual Studio Code)には、我々がコードを作っているときに発見した脆弱性を表示してくれる拡張機能もあります。
  
  今やオープンソースはまぎれもなく強力で重要です。それにどれくらい関わって発展に協力できるかということが重要です。これからもGitHubはオープンソースの発展に寄与したいと思っています。

＊　＊　＊

今回、Kyle Daigleさんにお話しを伺って、改めてGitHubの基本的な考え方を聞くことができ、オープンソースの発展に関する並々ならない熱意を感じました。また「開発者にとって何が重要か」ということも大きな課題として認識しているようで、開発者をいかに「幸福」にするかということが、GitHubの活動の根底にあるようです。

これからも「開発者の幸福」と「オープンソースの発展」という軸で活動していくGitHubの活動を期待したいと思います。