GitHub расширяет охват уязвимостей с помощью гибридной модели обнаружения
GitHub расширяет возможности безопасности приложений с помощью детекторов на базе искусственного интеллекта, предназначенных для выявления рисков на более ранних этапах процесса разработки. Публичная превью запланирована на начало второго квартала.
Обновление призвано улучшить сканирование кода, обнаружение секретов и анализ зависимостей в репозиториях, размещённых на платформе.
Компания заявила, что новые детекторы предназначены для дополнения существующего движка CodeQL, который продолжает использоваться для семантического анализа поддерживаемых языков.
Статический анализ по-прежнему играет ключевую роль в выявлении уязвимостей, хотя современные кодовые базы часто включают скрипты, определения инфраструктуры и компоненты, созданные в более широком спектре экосистем.
«Чтобы решить эту задачу, GitHub Code Security расширяет охват, сочетая CodeQL с детекторами безопасности на базе ИИ для дополнительных языков и фреймворков. Эта гибридная модель обнаружения помогает выявлять уязвимости и предлагать исправления непосредственно разработчикам в рамках рабочего процесса пул-реквестов», — сказал Марсело Оливейра, вице-президент по управлению продуктами в GitHub.
Во внутреннем тестировании платформа обработала более 170 000 обнаружений за 30-дневный период и получила более 80% положительных отзывов от разработчиков. Первые результаты демонстрируют расширенное покрытие для экосистем, включая Shell и Bash, Dockerfiles, конфигурации Terraform и PHP.
GitHub размещает проверки безопасности непосредственно в пул-реквестах, где разработчики просматривают изменения кода. При открытии пул-реквеста GitHub Code Security анализирует обновление с использованием либо статического анализа на основе CodeQL, либо детекторов на базе ИИ, в зависимости от контекста.
Обнаружения отображаются вместе с существующими сигналами ревью кода и помечают такие проблемы, как небезопасные SQL-запросы, слабое криптографическое использование или неправильно настроенная инфраструктура. Такой подход предназначен для выявления рисков раньше в цикле разработки без необходимости изменять существующие рабочие процессы.
GitHub также связывает обнаружение с исправлением через Copilot Autofix, который предлагает исправления, которые можно просмотреть и применить в том же процессе ревью кода.
«Поскольку GitHub находится в точке слияния рабочего процесса разработки, команды безопасности могут обеспечивать результаты, когда код проверен и одобрен, а не после его выпуска», — заключил Оливейра.