大家肯定听过 GitHub 这个平台,对吧?最近它又搞了个大动作,把代码安全的事儿升级了。新天域互联这个香港IDC说啊,GitHub 宣布要给 Code Security 工具里加点 AI 扫描的功能,专门为了弥补原来 CodeQL 静态分析的短板。以前那种静态分析没办法覆盖的语言和框架,这次要给补上了。说白了就是想把代码安全这块儿推到 AI 增强的新阶段。 大家都知道 CodeQL 是 GitHub 自己维护的开源静态分析引擎,挺厉害的。不过现在要给它找个搭档——AI 检测。这个AI就把主要精力放在 Shell、Bash、Dockerfiles、Terraform、PHP 这些以前不太容易覆盖的系统上。这种搭配挺有智慧,既保留了老工具的精准劲儿,又能靠着 AI 把多语言适配这块补上。 据说这个新的混合模式今年2026年第二季度就会出来给大家预览了。其实 GitHub Code Security 就是个集成在仓库和工作流里的应用安全工具。不管是公共还是私有的仓库,只要是免费基础功能的都能免费用。要是想用更高级的私有仓库功能就得掏钱买 GitHub Advanced Security 套件了。 它的核心本事包括找漏洞、查开源库依赖、看有没有机密泄露之类的。还有个特别好用的功能叫 Copilot 修复建议,能直接帮开发者在拉取请求的时候解决问题。 看看内部测试数据就知道有多给力:30天内处理了17万多条检测结果,开发者的好评率达到了80%。尤其是在那些之前没怎么好好审查的系统里表现得特别好。 还有 Copilot Autofix 这个功能也是越来越重要了。数据显示在2025年,这个功能一共处理了46万多条警报,平均修复时间缩短到了0.66小时。比起以前不用它时的1.29小时快多了。 这次升级不是说要把老的静态分析工具给干掉,而是跟着行业趋势走“AI+规则引擎”的路子。虽然现在的 AI 工具还不能完全代替 CodeQL 这样的传统工具吧,但在复杂场景下能帮上大忙。 这次升级也说明代码安全越来越融入开发全流程里了。以后这样的防护做法能帮忙缓解一下安全人才不够的问题吧?总之就是把代码安全防护的效率给提上去咯。