마이크로소프트가 Azure DevOps용 GitHub Advanced Security에 AI 기반 취약점 자동 수정 기능인 Copilot Autofix를 제한 공개 프리뷰로 선보였다. 이 기능은 CodeQL이 탐지한 보안 취약점을 GitHub Copilot의 코딩 에이전트가 자동으로 분석하고, 수정 코드를 담은 풀 리퀘스트(PR)를 자동 생성해 개발자가 기존 워크플로 안에서 검토하고 병합할 수 있도록 한다. 그동안 GitHub 저장소에만 제공되던 Copilot Autofix 기능이 Azure Repos를 사용하는 조직으로 확대된 것이다.
기존 정적 애플리케이션 보안 테스트(SAST) 도구는 취약점 발견에는 능하지만, 개발자가 경고를 해석하고 수정책을 직접 구현해야 하는 부담을 남겼다. 마이크로소프트는 이른바 ‘마지막 1마일’ 문제를 해소하기 위해 CodeQL의 심층 의미 분석과 Copilot의 코드 생성 능력을 결합했다. CodeQL이 지원 대상 보안 경고를 감지하면, AI 에이전트가 해당 취약점과 주변 코드 맥락을 분석한 뒤 플래그가 걸린 라인만이 아니라 필요에 따라 여러 파일에 걸친 수정 변경사항을 포함한 PR을 자동으로 열어 검토를 요청한다.

마이크로소프트는 수정 과정에서 개발자 검토를 유지하는 점을 강조한다. Copilot Autofix가 생성한 수정안은 완결성이 보장되지 않으며 의도치 않은 부작용이 포함될 수 있어, 생성된 PR은 Azure DevOps 내 기존 코드 검토, 테스트, 승인 절차를 그대로 따른다. 이는 AI를 완전 자율 보안 엔지니어가 아닌 반복 작업을 가속화하는 보조 역할로 위치시키는 전략이다. 실제로 AI가 생성한 수정 PR 중 상당수는 불완전한 구현이나 잘못된 가정, 테스트 실패로 거부된다는 연구 결과도 이 방향을 뒷받침한다.
이번 릴리스는 GitHub와 Azure DevOps의 기능 격차를 좁히려는 마이크로소프트의 지속적인 전략의 일환이다. Azure DevOps용 GitHub Advanced Security는 이미 시크릿 스캐닝, 의존성 스캐닝, CodeQL 코드 스캐닝을 제공하고 있으며, Copilot Autofix는 여기에 AI 생성 수정 기능을 추가한다. 깃랩(GitLab), 스닉(Snyk), 소나(Sonar), 체크마르크스(Checkmarx) 등 경쟁사들도 AI를 취약점 분석과 코드 검토에 통합하는 흐름이 확산되는 가운데, 마이크로소프트는 취약점 감지에서 수정까지의 전 과정을 개발자 환경 안에서 완결하는 방향으로 보안 플랫폼을 재편하고 있다.














