Qiita Advent Calendar 2023 「Visual Studio Code」 24日目の記事です。 
<iframe id="zenn-embedded__7a9fdd9baee44" src="https://embed.zenn.studio/card#zenn-embedded__7a9fdd9baee44" data-content="https%3A%2F%2Fqiita.com%2Fadvent-calendar%2F2023%2Fvscode" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://qiita.com/advent-calendar/2023/vscode" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/advent-calendar/2023/vscode</a>
<aside class="msg message">!<div class="msg-content">
(2024/05/01追記) 
CodeWhispererがAmazon Qに吸収されたみたいです。 
今から読む人は、CodeWhispererをAmazon Qに読み替えていただければと思います。
</div></aside>
<h1 id="%E8%A8%80%E3%81%84%E3%81%9F%E3%81%84%E3%81%93%E3%81%A8" data-line="9" class="code-line">
<a class="header-anchor-link" href="#%E8%A8%80%E3%81%84%E3%81%9F%E3%81%84%E3%81%93%E3%81%A8" aria-hidden="true"></a> 言いたいこと</h1>
VSCode上でAmazon CodeWhispererに脆弱性診断をさせてGitHub Copilot Chatにその解説をさせると、とても捗るよ。
<img src="https://storage.googleapis.com/zenn-user-upload/49cd9c9fb9e2-20231220.png" loading="lazy" class="md-img">
<h1 id="%E3%82%82%E3%81%86%E5%B0%91%E3%81%97%E7%B4%B0%E3%81%8B%E3%81%84%E8%AA%AC%E6%98%8E" data-line="16" class="code-line">
<a class="header-anchor-link" href="#%E3%82%82%E3%81%86%E5%B0%91%E3%81%97%E7%B4%B0%E3%81%8B%E3%81%84%E8%AA%AC%E6%98%8E" aria-hidden="true"></a> もう少し細かい説明</h1>
<h2 id="github-copilot%E3%82%84amazon-codewhisperer%E3%81%A3%E3%81%A6%E4%BD%95%EF%BC%9F" data-line="18" class="code-line">
<a class="header-anchor-link" href="#github-copilot%E3%82%84amazon-codewhisperer%E3%81%A3%E3%81%A6%E4%BD%95%EF%BC%9F" aria-hidden="true"></a> GitHub CopilotやAmazon CodeWhispererって何？</h2>
GitHub Copilotは、IDE上でAIがコーディングの補完をしてくれるGitHub提供のサービスです。 
Amazon CodeWhispererは、IDE上でAIがコーディングの補完をしてくれるAWS提供のサービスです。
つまり競合しています。比較用に両方を使ったことがある人はいても、日常的に同時使用している人は少ないのではないでしょうか。 
ですが、メイン機能であるコーディング補完は一旦おいておいて、CodeWhispererの脆弱性診断機能の結果をCopilot Chatに解説させるという使い方がかなり良いと気づいたので紹介します。
<h2 id="%E6%BA%96%E5%82%99%E3%82%92%E3%81%99%E3%82%8B" data-line="26" class="code-line">
<a class="header-anchor-link" href="#%E6%BA%96%E5%82%99%E3%82%92%E3%81%99%E3%82%8B" aria-hidden="true"></a> 準備をする</h2>
<h3 id="codewhisperer%E3%82%92%E4%BD%BF%E3%81%88%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B" data-line="28" class="code-line">
<a class="header-anchor-link" href="#codewhisperer%E3%82%92%E4%BD%BF%E3%81%88%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B" aria-hidden="true"></a> CodeWhispererを使えるようにする</h3>
<ul data-line="30" class="code-line">
<li data-line="30" class="code-line">AWS BuilderIDを持っていない場合は、作成してください。</li>
</ul>
<iframe id="zenn-embedded__49f3edfe90064" src="https://embed.zenn.studio/card#zenn-embedded__49f3edfe90064" data-content="https%3A%2F%2Fprofile.aws.amazon.com%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://profile.aws.amazon.com/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://profile.aws.amazon.com/</a>
<ul data-line="35" class="code-line">
<li data-line="35" class="code-line">VSCodeの拡張機能でAmazon Toolkitをインストールしてください。</li>
</ul>
<iframe id="zenn-embedded__a51d552ce2f9d" src="https://embed.zenn.studio/card#zenn-embedded__a51d552ce2f9d" data-content="https%3A%2F%2Fmarketplace.visualstudio.com%2Fitems%3FitemName%3DAmazonWebServices.aws-toolkit-vscode" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://marketplace.visualstudio.com/items?itemName=AmazonWebServices.aws-toolkit-vscode" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://marketplace.visualstudio.com/items?itemName=AmazonWebServices.aws-toolkit-vscode</a>
<ul data-line="39" class="code-line">
<li data-line="39" class="code-line">Amazon Toolkitに、BuilderIDにログインしてください。</li>
</ul>
<h3 id="github-copilot-chat%E3%82%92%E4%BD%BF%E3%81%88%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B" data-line="41" class="code-line">
<a class="header-anchor-link" href="#github-copilot-chat%E3%82%92%E4%BD%BF%E3%81%88%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B" aria-hidden="true"></a> GitHub Copilot Chatを使えるようにする</h3>
<ul data-line="43" class="code-line">
<li data-line="43" class="code-line">GitHub Copilotに課金しましょう。</li>
</ul>
<iframe id="zenn-embedded__970538f7d7ecf" src="https://embed.zenn.studio/card#zenn-embedded__970538f7d7ecf" data-content="https%3A%2F%2Fdocs.github.com%2Fja%2Fcopilot%2Fusing-github-copilot%2Fgetting-started-with-github-copilot" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.github.com/ja/copilot/using-github-copilot/getting-started-with-github-copilot" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.github.com/ja/copilot/using-github-copilot/getting-started-with-github-copilot</a>
<ul data-line="47" class="code-line">
<li data-line="47" class="code-line">
<code>https://github.com/settings/copilot</code>からGitHub Copilot Chatを有効化してください。
</li>
<li data-line="49" class="code-line">
VSCodeの拡張機能でGitHub Copilot Chatをインストールして、GitHubにログインしてください。
</li>
</ul>
<iframe id="zenn-embedded__d6dee5c98d227" src="https://embed.zenn.studio/card#zenn-embedded__d6dee5c98d227" data-content="https%3A%2F%2Fmarketplace.visualstudio.com%2Fitems%3FitemName%3DGitHub.copilot-chat" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://marketplace.visualstudio.com/items?itemName=GitHub.copilot-chat" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://marketplace.visualstudio.com/items?itemName=GitHub.copilot-chat</a>
<h2 id="%E5%AE%9F%E9%9A%9B%E3%81%AB%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B%E3%80%82" data-line="54" class="code-line">
<a class="header-anchor-link" href="#%E5%AE%9F%E9%9A%9B%E3%81%AB%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B%E3%80%82" aria-hidden="true"></a> 実際にやってみる。</h2>
準備ができたら、実際にやってみましょう。
<h3 id="%E8%84%86%E5%BC%B1%E3%81%AA%E3%82%B3%E3%83%BC%E3%83%89%E3%82%92%E7%94%A8%E6%84%8F%E3%81%99%E3%82%8B" data-line="58" class="code-line">
<a class="header-anchor-link" href="#%E8%84%86%E5%BC%B1%E3%81%AA%E3%82%B3%E3%83%BC%E3%83%89%E3%82%92%E7%94%A8%E6%84%8F%E3%81%99%E3%82%8B" aria-hidden="true"></a> 脆弱なコードを用意する</h3>
サンプルにふさわしい脆弱なコードが手元になかったので、確実に脆弱性診断に引っかかるAPIを新規作成しました。(エラーにならないけど致命的に脆弱なコードを書くのは地味に苦戦しました。普段は書かないし、AIに頼んでも書いてくれない)
<div class="code-block-container">
<div class="code-block-filename-container">index.ts</div>
<pre class="language-ts"><code class="language-ts code-line" data-line="62">import { fastify, FastifyRequest, FastifyReply } from "fastify";
import sqlite3 from "sqlite3";

const svr = fastify();
const db = new sqlite3.Database("db/my.db");

svr.post("/", async (req: FastifyRequest, res: FastifyReply) =&gt; {
 const text = req.body as string;
 // テキストをsqliteに保存
 db.run(`INSERT INTO posts (title) VALUES ("${text}")`);
 res.send({ success: true });
});

svr.listen({ port: 8000 })
</code></pre>
</div><h3 id="amazon-codewhisperer%E3%81%A7%E8%84%86%E5%BC%B1%E6%80%A7%E8%A8%BA%E6%96%AD%E3%82%92%E3%81%99%E3%82%8B" data-line="79" class="code-line">
<a class="header-anchor-link" href="#amazon-codewhisperer%E3%81%A7%E8%84%86%E5%BC%B1%E6%80%A7%E8%A8%BA%E6%96%AD%E3%82%92%E3%81%99%E3%82%8B" aria-hidden="true"></a> Amazon CodeWhispererで脆弱性診断をする</h3>
最初に脆弱性診断をしたいコードをエディタで開いてください。CodeWhispererでは開いているコード + 依存関係のあるコードをスキャンしてくれます。 
開いたら以下の手順で脆弱性診断を実行します。
<ol data-line="84" class="code-line">
<li data-line="84" class="code-line">事前準備でAWS Toolkitの設定をしていれば、VS Codeに下部にCodeWhisperが存在しているはずなので、これを押下します。</li>
<li data-line="85" class="code-line">メニューが表示されるので、<code>Run Secutity Scan</code>を選んでください。</li>
</ol>
<img src="https://storage.googleapis.com/zenn-user-upload/5a44cdcd888b-20231221.png" loading="lazy" class="md-img">
<ol start="3" data-line="89" class="code-line">
<li data-line="89" class="code-line">問題の一覧が表示され、問題箇所のコードが強調表示されます。</li>
</ol>
<img src="https://storage.googleapis.com/zenn-user-upload/820306421773-20231221.png" loading="lazy" class="md-img">
この状態でコードの該当箇所にカーソルを当てると詳細を開くことができますが、指摘が難解で分かりにくいです。英語ですし。 
<img src="https://storage.googleapis.com/zenn-user-upload/c9b972376241-20231221.png" loading="lazy" class="md-img">
<h3 id="copilot-chat%E3%81%AB%E8%84%86%E5%BC%B1%E6%80%A7%E8%A8%BA%E6%96%AD%E7%B5%90%E6%9E%9C%E3%82%92%E8%A7%A3%E8%AA%AC%E3%81%97%E3%81%A6%E3%82%82%E3%82%89%E3%81%86" data-line="96" class="code-line">
<a class="header-anchor-link" href="#copilot-chat%E3%81%AB%E8%84%86%E5%BC%B1%E6%80%A7%E8%A8%BA%E6%96%AD%E7%B5%90%E6%9E%9C%E3%82%92%E8%A7%A3%E8%AA%AC%E3%81%97%E3%81%A6%E3%82%82%E3%82%89%E3%81%86" aria-hidden="true"></a> Copilot Chatに脆弱性診断結果を解説してもらう</h3>
分かりにくいのでCopilot Chatに説明してもらいましょう。 
該当箇所にカーソルを当てると内容がポップアップされますので、<code>クイックフィックス</code>を選びます。
<img src="https://storage.googleapis.com/zenn-user-upload/c5019295394f-20231221.png" loading="lazy" class="md-img">
<code>Copilotを使用して修正する</code>と<code>Copilotを使用して説明する</code>が出てきます。修正したいのを一旦ガマンして<code>説明する</code>を選びます。(修正の場合は修正コードのみ提示されます。解説が無いので正しい修正か判断できません。結果誤った修正を適用してしまうことがありますので説明を推奨します。)
<img src="https://storage.googleapis.com/zenn-user-upload/526367f19d59-20231221.png" loading="lazy" class="md-img">
すると、Chatで脆弱性の説明とコードの修正案を提示してくれます。
<img src="https://storage.googleapis.com/zenn-user-upload/91070d62763b-20231221.png" loading="lazy" class="md-img">
すごい！
<h3 id="%E8%AA%A4%E8%A8%BA%E3%81%AB%E5%AF%BE%E3%81%97%E3%81%A6%E3%81%AFcopilot%E3%81%8C%E5%95%8F%E9%A1%8C%E3%81%AA%E3%81%84%E3%81%A8%E8%A8%80%E3%81%A3%E3%81%A6%E3%81%8F%E3%82%8C%E3%82%8B" data-line="113" class="code-line">
<a class="header-anchor-link" href="#%E8%AA%A4%E8%A8%BA%E3%81%AB%E5%AF%BE%E3%81%97%E3%81%A6%E3%81%AFcopilot%E3%81%8C%E5%95%8F%E9%A1%8C%E3%81%AA%E3%81%84%E3%81%A8%E8%A8%80%E3%81%A3%E3%81%A6%E3%81%8F%E3%82%8C%E3%82%8B" aria-hidden="true"></a> 誤診に対してはCopilotが問題ないと言ってくれる</h3>
この方法のとても便利な点として、脆弱性診断結果が実際には放置しても問題ない場合はCopilotが問題ないと言ってくれる点にあります。 
具体的には以下のキャプチャを御覧ください。Pythonのコードに対して脆弱性診断をした結果OSコマンドインジェクションの指摘がされています。しかし<code>Colilot</code>に解説をお願いすると、問題ないと教えてくれます。 
<img src="https://storage.googleapis.com/zenn-user-upload/a5b61475af09-20231221.png" loading="lazy" class="md-img">
実際に脆弱性診断をやって困るのは、指摘されたけど本当に直さないといけないのか分からないケースかと思います。Copilotに聞くと、問題ないときは問題ないとはっきり答えてくれるので非常に助かります。
ということで、AIによる脆弱性診断と別なAIとのChatの組合せがとても便利だよという話でした。
<h1 id="%E3%81%A1%E3%82%87%E3%81%A3%E3%81%A8%E6%80%9D%E3%81%86%E3%81%93%E3%81%A8%E3%80%82" data-line="123" class="code-line">
<a class="header-anchor-link" href="#%E3%81%A1%E3%82%87%E3%81%A3%E3%81%A8%E6%80%9D%E3%81%86%E3%81%93%E3%81%A8%E3%80%82" aria-hidden="true"></a> ちょっと思うこと。</h1>
両方使うと捗ると書きましたが、これって凄いのはCopilot Chatの方ですよね。
従来の脆弱性診断は専門用語が多いので「直せ」と言われても良く分からないことが多いです。CodeWhispererは生成AIが修正方針を提示してくれるみたいな謳い文句が付いていますが、正直あまり提示してくれないです。また脆弱性の説明は付いていますがコードを絡めた解説が無いので修正には繋がりません。開発者がエディタ上で気軽に実行できる点は良いですが、中身は従来の脆弱性診断と大差ないと思います。
先日、Amazon QというCopilot Chatに対抗できるサービスも登場したことですし、今回紹介した内容と同等のことをAWSだけで完結して欲しいと期待します。
<h1 id="%E4%BD%99%E8%AB%87" data-line="131" class="code-line">
<a class="header-anchor-link" href="#%E4%BD%99%E8%AB%87" aria-hidden="true"></a> 余談</h1>
この便利さに気づいたのは、VSCodeにDuetAIを導入してみた記念(?)にCopilotとCodeWhisperとDuetAIを同時に使ったら誰が勝つのだろうと思って遊んでいたのがきっかけです。ありがとうGoogle!!

VSCode上でCodeWhispererとCopilotを両方使うと、捗る (AIが脆弱性診断→AIが解説)

GitHub CopilotやAmazon CodeWhispererって何？

GitHub Copilot Chatを使えるようにする

Amazon CodeWhispererで脆弱性診断をする

Copilot Chatに脆弱性診断結果を解説してもらう

誤診に対してはCopilotが問題ないと言ってくれる

vscode

githubcopilot

codewhisperer

copilotchat

Discussion