GitHub внедряет сканирование на основе ИИ в свой инструмент Code Security, чтобы расширить обнаружение уязвимостей за пределы статического анализа CodeQL и охватить больше языков и фреймворков.
Платформа для совместной разработки заявляет, что этот шаг направлен на выявление проблем безопасности «в областях, которые трудно поддерживать только традиционным статическим анализом».
CodeQL продолжит обеспечивать глубокий семантический анализ для поддерживаемых языков, в то время как обнаружения на основе ИИ обеспечат более широкий охват для Shell/Bash, Dockerfile, Terraform, PHP и других экосистем.
Ожидается, что новая гибридная модель войдет в публичную предварительную версию в начале второго квартала 2026 года, возможно, уже в следующем месяце.
Обнаружение ошибок до того, как они нанесут вред
GitHub Code Security — это набор инструментов безопасности приложений, интегрированный непосредственно в репозитории и рабочие процессы GitHub.
Он доступен бесплатно (с ограничениями) для всех публичных репозиториев. Однако платные пользователи могут получить доступ к полному набору функций для частных/внутренних репозиториев в рамках дополнительного пакета GitHub Advanced Security (GHAS).
Он предлагает сканирование кода на предмет известных уязвимостей, сканирование зависимостей для выявления уязвимых библиотек с открытым исходным кодом, сканирование секретов для обнаружения утечек учетных данных в публичных активах и предоставляет оповещения о безопасности с предложениями по исправлению на базе Copilot.
Инструменты безопасности работают на уровне pull request, при этом платформа выбирает подходящий инструмент (CodeQL или ИИ) для каждого случая, чтобы любые проблемы были выявлены до слияния потенциально проблемного кода.
Если обнаруживаются какие-либо проблемы, такие как слабая криптография, неверные конфигурации или небезопасные SQL-запросы, они отображаются непосредственно в pull request.
Внутреннее тестирование GitHub показало, что система обработала более 170 000 находок за 30 дней, что привело к 80% положительных отзывов от разработчиков и указало на то, что помеченные проблемы были действительными.
Эти результаты продемонстрировали «сильный охват» целевых экосистем, которые ранее не получали достаточного внимания.
GitHub также подчеркивает важность Copilot Autofix, который предлагает решения для проблем, обнаруженных с помощью GitHub Code Security.
Статистика за 2025 год, включающая более 460 000 оповещений о безопасности, обработанных Autofix, показывает, что среднее время устранения составило 0,66 часа по сравнению с 1,29 часа при использовании Autofix.
Принятие GitHub обнаружения уязвимостей на основе ИИ знаменует собой более широкий сдвиг, при котором безопасность дополняется ИИ и нативно встраивается в сам процесс разработки.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
