GitHub розширює можливості виявлення вразливостей за допомогою штучного інтелекту
Адміністрація GitHub анонсувала інтеграцію функції сканування коду на основі штучного інтелекту (ШІ) до свого сервісу Code Security. Ця нова можливість покликана доповнити існуючий статичний аналіз CodeQL, розширивши покриття для більшої кількості мов програмування та фреймворків.
Источник изображения: github.blog
Гібридний підхід до безпеки коду
Новий підхід спрямований на виявлення проблем безпеки в тих сферах, де традиційні методи статичного аналізу можуть бути недостатньо ефективними. CodeQL продовжить функціонувати для тих мов та технологій, для яких вже розроблена відповідна підтримка. Водночас, ШІ-моделі забезпечать розширене покриття, охопивши такі екосистеми, як Shell/Bash, Dockerfiles, Terraform, PHP та інші. Публічне тестування цієї гібридної моделі сканування розпочнеться на початку другого кварталу 2026 року.
Інтеграція та доступність інструментів
Набір інструментів GitHub Code Security тісно інтегрується безпосередньо з репозиторіями та робочими процесами GitHub. Для публічних репозиторіїв сервіс надається безкоштовно, хоча й з певними обмеженнями. Підписники платних тарифних планів отримують доступ до розширеного пакету GitHub Advanced Security (GHAS). Сервіс пропонує функціонал для сканування коду на наявність відомих вразливостей, аналізу залежностей та виявлення вразливих відкритих бібліотек, а також для виявлення витоків облікових даних у загальнодоступних ресурсах. Крім того, платформа надає сповіщення про безпеку з рекомендаціями щодо виправлення проблем, розробленими за допомогою ШІ-помічника Copilot.
Ефективність у реальному часі та зворотний зв’язок
Інструменти безпеки активуються на рівні запитів на злиття (pull requests). Платформа автоматично обирає відповідний інструмент — CodeQL або ШІ — що дозволяє виявляти загрози до інтеграції потенційно проблемного коду. У разі виявлення вразливостей, таких як слабке шифрування, неправильна конфігурація або незахищені SQL-запити, сповіщення відображаються безпосередньо в запитах на злиття. В рамках внутрішнього тестування система обробила понад 170 000 інцидентів за 30 днів. Розробники залишили 80 % позитивних відгуків, підтвердивши обґрунтованість виявлених проблем.
Copilot Autofix: прискорення усунення вразливостей
GitHub також наголосив на важливості функції Copilot Autofix, яка пропонує автоматизовані рішення для проблем, виявлених GitHub Code Security. За підсумками 2025 року, Autofix опрацював понад 460 000 сповіщень про безпеку. У середньому, рішення для виправлення вразливостей знаходилися за 0,66 години. Для порівняння, коли Autofix не використовувався, цей показник зростав у середньому до 1,29 години, демонструючи значне прискорення процесу усунення проблем.
Головний підсумок від ІТ-Блогу: GitHub впроваджує ШІ для виявлення вразливостей, доповнюючи статичний аналіз і розширюючи охоплення нових мов та екосистем. Цей гібридний підхід, разом з функцією автоматичного виправлення Copilot Autofix, значно прискорює процес забезпечення безпеки коду.
Інформація підготовлена на основі матеріалів: 3dnews.ru