GitHub объявил о расширении своего продукта GitHub Code Security: к классическому статическому анализу кода на базе CodeQL добавят ИИ-детекторы уязвимостей, чтобы находить больше проблем в тех языках, фреймворках и конфигурациях, где традиционный анализ покрывает не все сценарии.
GitHub не заменяет CodeQL на ИИ, а строит гибридную модель: там, где сильнее работает формальный статический анализ, останется CodeQL, а там, где нужно расширить охват и найти больше типовых ошибок в разных экосистемах, будет подключаться ИИ.
Читайте также: Сотни вредоносных копий на GitHub: как поддельные репозитории крадут криптовалюту и пароли
Среди направлений, которые GitHub упоминает в связи с новым ИИ-подходом, — Shell/Bash, Dockerfiles, Terraform, PHP и другие экосистемы. Ведь значительная часть современных рисков живет не только в прикладном коде, но и в конфигурации сборки, скриптах автоматизации, контейнерных описаниях и инфраструктуре как коде.
GitHub пишет, что система будет встроена в обычный рабочий процесс и сможет срабатывать на уровне pull request — то есть при запросе на слияние изменений. Платформа будет выбирать подходящий механизм проверки, CodeQL или ИИ, в зависимости от конкретного случая. Если будут найдены проблемы вроде слабой криптографии, небезопасных SQL-конструкций или ошибочных настроек, предупреждения появятся прямо в интерфейсе pull request до слияния кода.
GitHub Code Security — это набор встроенных инструментов безопасности в репозиториях GitHub. Он включает сканирование кода на уязвимости, проверку зависимостей на наличие уязвимых open-source библиотек, поиск секретов вроде случайно опубликованных токенов и ключей, а также подсказки по исправлению уязвимостей через Copilot Autofix. На отдельной странице GitHub прямо описывает Code Security как систему, которая помогает выявлять риски на раннем этапе и быстрее устранять их в процессе разработки.
По данным GitHub, во внутреннем тестировании новая система обработала более 170 тысяч находок за 30 дней, а 80% отзывов разработчиков были положительными и указывали, что срабатывания оказались полезными и валидными. GitHub в своем блоге характеризует это как «сильное покрытие» в тех экосистемах, которые раньше проверялись слабее.
Отдельная часть стратегии GitHub — это Copilot Autofix, инструмент, который предлагает варианты исправления найденных уязвимостей. В свежем официальном посте GitHub говорится, что в 2025 году Autofix помогал работать более чем с 460 тысячами предупреждений безопасности, а среднее время до достижения решения составляло 0,66 часа против 1,29 часа без Autofix.
Copilot Autofix не автоматически «исправляет все подряд». GitHub описывает его как систему, которая предлагает разработчику вариант исправления, а тот уже может его проверить, протестировать, принять, отклонить или доработать.
Новая гибридная модель с ИИ-детекторами должна выйти в публичное предварительное тестирование в начале второго квартала 2026 года.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
