Prima di procedere
GitHub ha annunciato l'implementazione di una nuova funzionalità di scansione del codice basata sull'intelligenza artificiale (IA) all'interno del suo servizio Code Security. Questa innovazione mira a identificare vulnerabilità che sfuggono all'analisi statica tradizionale di CodeQL, ampliando significativamente la copertura a un numero maggiore di linguaggi e framework.
L'obiettivo principale di questa nuova misura è colmare le lacune esistenti nei metodi di analisi statica convenzionali. Mentre CodeQL continuerà a operare nelle aree in cui è già supportato, l'IA interverrà per estendere la protezione a ecosistemi come Shell/Bash, Dockerfile, Terraform e PHP. I test pubblici di questo nuovo modello ibrido sono previsti per l'inizio del secondo trimestre del 2026.
Il set di strumenti GitHub Code Security si integra direttamente nei repository e nei flussi di lavoro di GitHub. È disponibile gratuitamente per i repository pubblici, sebbene con alcune limitazioni. Gli abbonati ai piani a pagamento possono usufruire del pacchetto esteso GitHub Advanced Security (GHAS). Il servizio offre diverse funzionalità, tra cui la scansione del codice per individuare vulnerabilità note, la scansione delle dipendenze e l'identificazione di librerie open source vulnerabili, il rilevamento di fughe di credenziali in risorse pubbliche e avvisi di sicurezza con raccomandazioni per la risoluzione dei problemi basate sull'assistente Copilot, anch'esso alimentato da IA.
Gli strumenti di sicurezza entrano in azione a livello di richieste di pull, con la piattaforma che seleziona lo strumento più appropriato, sia esso CodeQL o l'IA, per identificare potenziali minacce prima che il codice problematico venga integrato. In caso di rilevamento di vulnerabilità, come crittografia debole, configurazioni errate o query SQL non sicure, gli avvisi vengono visualizzati direttamente nelle richieste di pull. Durante i test interni, il sistema ha elaborato oltre 170.000 incidenti in 30 giorni, con gli sviluppatori che hanno espresso un feedback positivo nell'80% dei casi, confermando la validità dei problemi segnalati.
Un elemento chiave menzionato dall'amministrazione di GitHub è la funzione Copilot Autofix, che offre soluzioni automatizzate per i problemi identificati da GitHub Code Security. Nel corso del 2025, Autofix ha gestito oltre 460.000 avvisi di sicurezza, risolvendo i problemi in media in 0,66 ore. In assenza di Autofix, il tempo medio di risoluzione aumentava a 1,29 ore, evidenziando l'efficacia di questo strumento nell'accelerare il processo di correzione delle vulnerabilità.
L'integrazione dell'IA nella scansione del codice rappresenta un passo significativo verso una maggiore sicurezza e protezione dei progetti software su GitHub. Questa nuova funzionalità, combinata con gli strumenti esistenti come CodeQL e Copilot Autofix, offre agli sviluppatori un arsenale completo per identificare e risolvere le vulnerabilità in modo rapido ed efficiente, contribuendo a creare un ecosistema di sviluppo più sicuro e affidabile.
