Платформата за разработчици GitHub обяви значително разширение на своите инструменти за сигурност чрез внедряване на ИИ-базирано сканиране в рамките на GitHub Code Security. Новият подход комбинира съществуващия анализ чрез CodeQL с допълнителен слой от изкуствен интелект, който цели да покрие повече езици и среди.
Основната идея е да се адресират онези уязвимости, които трудно могат да бъдат засечени чрез традиционен статичен анализ. Докато CodeQL ще продължи да осигурява дълбок семантичен анализ за поддържаните езици, новият ИИ компонент ще разшири обхвата към технологии като Shell/Bash, Dockerfiles, Terraform, PHP и други.
Очаква се хибридният модел да влезе в публичен preview през второто тримесечие на 2026 г.
Сигурност, интегрирана директно в разработката
GitHub Code Security представлява набор от инструменти, интегрирани директно в процеса на разработка. Те включват сканиране за уязвимости в кода, анализ на зависимости, откриване на изтекли креденшъли и автоматични известия за рискове.
Функционалността е налична безплатно за публични хранилища, докато разширените възможности за частни среди се предлагат чрез пакета GitHub Advanced Security.
Една от ключовите характеристики е, че анализът се извършва още на ниво pull request. Системата автоматично избира дали да използва CodeQL или ИИ, като целта е проблемите да бъдат идентифицирани преди кодът да бъде интегриран в основния проект. Това позволява откриване на слабости като неправилни конфигурации, слаба криптография или уязвими SQL заявки още в ранен етап.
Ефективност и реални резултати
Вътрешните тестове на GitHub показват, че системата е обработила над 170 000 находки в рамките на 30 дни, като приблизително 80% от разработчиците са оценили сигналите като полезни и валидни. Това показва значително подобрение в покритието на технологии, които досега са били по-слабо анализирани.
Особено важна роля играе функцията Copilot Autofix, която предлага автоматични препоръки за отстраняване на откритите проблеми. Данни от 2025 г. показват, че при използване на тази функционалност средното време за разрешаване на уязвимост спада до около 0.66 часа, в сравнение с 1.29 часа без нея.
Нов етап в развитието на DevSecOps
Въвеждането на ИИ в процесите по сигурност е част от по-широка тенденция, при която защитата се интегрира директно в жизнения цикъл на разработката. Този подход трансформира традиционния модел, при който сигурността е последващ етап, в такъв, при който тя е вградена и автоматизирана от самото начало.
С хибридния модел на GitHub се очертава нов стандарт, при който комбинацията от статичен анализ и изкуствен интелект позволява по-ранно откриване на уязвимости, по-добро покритие и по-бърза реакция от страна на разработчиците.
