O GitHub implementará a verificação de código com inteligência artificial em seu serviço de Segurança de Código para ajudar a detectar vulnerabilidades além do serviço de análise estática CodeQL, abrangendo uma gama mais ampla de linguagens e frameworks.
Fonte da imagem: github.blog
Essa nova medida foi projetada para identificar problemas de segurança onde os métodos tradicionais de análise estática falham: o CodeQL continuará funcionando nas áreas para as quais já oferece suporte, enquanto a IA fornecerá cobertura expandida: Shell/Bash, Dockerfiles, Terraform, PHP e outros ecossistemas. Os testes públicos do novo modelo híbrido começarão no início do segundo trimestre de 2026.
O conjunto de ferramentas GitHub Code Security se integra diretamente aos repositórios e fluxos de trabalho do GitHub. Ele está disponível gratuitamente para repositórios públicos, embora com algumas limitações; assinantes pagos podem usar o pacote expandido GitHub Advanced Security (GHAS). O serviço oferece verificação de código em busca de vulnerabilidades conhecidas, verificação de dependências e detecção de bibliotecas públicas vulneráveis, detecção de vazamentos de credenciais em recursos públicos e alertas de segurança com recomendações de correção, com o auxílio do assistente de IA Copilot.
As ferramentas de segurança são acionadas no nível do pull request, com a plataforma selecionando a ferramenta apropriada — CodeQL ou IA — para identificar ameaças antes que o código potencialmente problemático seja incluído. Quando vulnerabilidades são detectadas, como criptografia fraca, configuração incorreta ou consultas SQL inseguras, alertas são exibidos diretamente nas solicitações de pull. Durante os testes internos, o sistema processou mais de 170.000 incidentes em 30 dias, com 80% dos desenvolvedores fornecendo feedback positivo, confirmando a validade dos problemas suspeitos.
A administração do GitHub também destacou o importante recurso do Copilot Autofix, que sugere soluções para os problemas.identificados usando o GitHub Code Security. Até o final de 2025, o Autofix havia processado mais de 460.000 alertas de segurança — as soluções foram encontradas em uma média de 0,66 horas e, quando o Autofix não era usado, esse número aumentava para uma média de 1,29 horas.