„GitHub“ naudoja AI pagrįstą kodo saugos įrankio nuskaitymą, kad išplėstų pažeidžiamumo aptikimą ne tik „CodeQL“ statinėje analizėje ir apimtų daugiau kalbų bei sistemų.
Kūrėjų bendradarbiavimo platforma teigia, kad šiuo žingsniu siekiama atskleisti saugumo problemas „srityse, kurias sunku palaikyti vien tradicine statine analize“.
„CodeQL“ ir toliau teiks gilią palaikomų kalbų semantinę analizę, o AI aptikimai suteiks platesnę „Shell/Bash“, „Dockerfiles“, „Terraform“, PHP ir kitų ekosistemų aprėptį.
Naujasis hibridinis modelis turėtų pasirodyti viešai 2026 m. antrojo ketvirčio pradžioje, galbūt jau kitą mėnesį.
Klaidų radimas prieš joms įkandant
„GitHub Code Security“ yra programų saugos įrankių rinkinys, tiesiogiai integruotas į „GitHub“ saugyklas ir darbo eigas.
Jis prieinamas nemokamai (su apribojimais) visose viešosiose saugyklose. Tačiau mokantys vartotojai gali pasiekti visą privačių / vidinių saugyklų funkcijų rinkinį kaip „GitHub Advanced Security“ (GHAS) priedų rinkinio dalį.
Jis siūlo kodų nuskaitymą, ieškant žinomų pažeidžiamumų, priklausomybės nuskaitymą, kad tiksliai nustatytų pažeidžiamas atvirojo kodo bibliotekas, paslapčių nuskaitymą, kad būtų atskleisti nutekėję viešųjų išteklių kredencialai, ir pateikiami saugos įspėjimai su Copilot valdomais taisymo pasiūlymais.
Saugos įrankiai veikia ištraukimo užklausos lygiu, o platforma kiekvienam atvejui pasirenka atitinkamą įrankį (CodeQL arba AI), todėl visos problemos yra užfiksuojamos prieš sujungiant potencialiai probleminį kodą.
Jei aptinkama kokių nors problemų, pvz., silpna kriptografija, netinkamos konfigūracijos arba nesaugus SQL, jos pateikiamos tiesiogiai ištraukimo užklausoje.
„GitHub“ vidinis testavimas parodė, kad sistema per 30 dienų apdorojo daugiau nei 170 000 išvadų, todėl kūrėjų atsiliepimai buvo 80% teigiami, o tai rodo, kad pažymėtos problemos galioja.
Šie rezultatai parodė, kad tikslinės ekosistemos yra „stipriai aprėptos“, kurios anksčiau nebuvo pakankamai ištirtos.
„GitHub“ taip pat pabrėžia „Copilot Autofix“ svarbą, kuri siūlo sprendimus problemoms, aptiktoms naudojant „GitHub Code Security“.
2025 m. statistika, apimanti daugiau nei 460 000 saugos įspėjimų, tvarkomų „Autofix“, rodo, kad skiriamoji geba buvo pasiekta vidutiniškai per 0,66 valandos, palyginti su 1,29 val., kai Autofix nebuvo naudojamas.
„GitHub“ įdiegta dirbtinio intelekto pažeidžiamumo aptikimo sistema žymi platesnį poslinkį, kai saugumas tampa papildytas dirbtiniu intelektu ir savaime įtraukiamas į pačią kūrimo darbo eigą.
Kenkėjiškos programos tampa išmanesnės. „Red Report 2026“ atskleidžia, kaip naujos grėsmės naudoja matematiką, kad aptiktų smėlio dėžes ir pasislėptų matomoje vietoje.
Atsisiųskite mūsų 1,1 milijono kenkėjiškų pavyzdžių analizę, kad sužinotumėte 10 geriausių metodų ir sužinotumėte, ar jūsų saugos paketas yra apakintas.
