GitHub 用 AI 检测扩展应用安全覆盖

AI 正在加速软件开发，现代仓库使用的语言和框架范围不断扩大。安全团队需要保护的代码不再局限于传统静态分析覆盖的核心企业语言，而是横跨多个生态系统。

为此，GitHub 在 GitHub Code Security 中引入 AI 驱动的安全检测（AI-powered security detections），扩展应用安全覆盖到更多语言和框架。这些检测与 CodeQL 互补，能发现传统静态分析难以支持的潜在漏洞。公测版计划在第二季度初推出。

用静态分析和 AI 扩展安全覆盖

静态分析仍是识别受支持语言中漏洞的有效方法，GitHub Code Security 继续依赖 CodeQL 进行深度语义分析。但现代代码库常包含脚本、基础设施定义和跨多个额外生态系统构建的应用程序组件。

为应对这一现实，GitHub Code Security 通过将 CodeQL 与 AI 驱动的安全检测配对，扩展对额外语言和框架的覆盖。这种混合检测模型帮助在 PR 工作流中直接向开发者展示漏洞及建议修复方案。

内部测试中，系统在 30 天内处理了超过 17 万条发现，开发者正面反馈超过 80%。早期结果显示，通过 AI 驱动检测新支持的生态系统覆盖强劲，包括 Shell/Bash、Dockerfiles、Terraform 配置（HCL）和 PHP。

此功能位于 GitHub 更广泛的智能体检测平台（agentic detection platform）内，该平台为开发者工作流中的安全、代码质量和代码审查体验提供支持。从扩展覆盖开始，为随时间演进的检测奠定基础，将静态分析的精确性与更深层上下文及新漏洞洞察相结合，适应持续加速的开发。

将扩展的安全覆盖带入 PR

PR 是开发者审查和批准变更的地方，也是早期展示安全风险最有效的场所。当 PR 打开时，GitHub Code Security 自动使用最合适的检测方法分析变更，无论是 CodeQL 驱动的静态分析还是 AI 驱动的安全检测。

结果直接显示在 PR 中，与其他代码扫描发现并列，展示如不安全字符串构建的 SQL 查询或命令、不安全加密算法、暴露敏感资源的基础设施配置等风险。

通过将安全检测集成到 PR 工作流，GitHub 帮助团队更早发现和修复漏洞，无需开发者离开他们已使用的工具和流程。

用 Copilot Autofix 将检测转为可审查的修复

早期识别漏洞只是挑战的一部分。安全团队还需确保这些问题被快速安全地修复。

GitHub Code Security 通过 Copilot Autofix 连接检测与修复，可建议修复方案供开发者在正常代码审查流程中审查、测试和应用。

开发者已在规模化使用 Autofix。2025 年，它修复了超过 46 万个安全警报，平均解决时间为 0.66 小时，而无 Autofix 时为 1.29 小时。

扩展检测与 Copilot Autofix 结合，帮助团队从发现风险到修复风险更快移动。

在合并点强制执行安全结果

由于 GitHub 位于开发工作流的合并点，安全团队可以在代码被审查和批准的地方强制执行结果，而非在代码发布后。通过将检测、修复和政策执行集中在 PR 中，GitHub 帮助团队降低风险而不拖慢开发。

在 RSAC，GitHub 将预览 AI 驱动的安全检测如何直接在 PR 中扩展应用安全覆盖。此演示反映了一个更广泛的方向：从今天的扩展覆盖开始，并演进为更深层、AI 增强的静态分析，作为 GitHub 智能体检测平台的一部分。访问 GitHub 在 RSAC 展位 #2327，了解混合检测、开发者原生修复和平台治理如何共同保障现代软件开发。

作者

GitHub 产品管理副总裁