据香港IDC新天域互联了解，近日，开发者协作平台GitHub宣布，将为其Code Security工具引入基于AI的扫描功能，突破现有CodeQL静态分析的局限，进一步扩大漏洞检测的语言和框架覆盖范围。此举旨在解决传统静态分析难以覆盖的安全检测盲区，推动代码安全防护向AI增强型升级。

　　据悉，新的混合检测模式将实现CodeQL与AI检测的互补共生。CodeQL作为GitHub维护的开源静态代码分析引擎，将继续为支持语言提供深度语义分析，而AI检测则重点覆盖Shell/Bash、Dockerfiles、Terraform、PHP等此前未充分覆盖的生态系统。这种组合既能发挥传统工具的精准优势，又能借助AI弥补其在多语言适配上的不足，该模式预计于2026年第二季度初进入公开预览阶段。

　　GitHub Code Security是一套集成于仓库和工作流的应用安全工具，所有公共仓库可免费使用基础功能，付费用户则可通过GitHub Advanced Security套件获取私有仓库的完整功能。其核心能力包括代码漏洞扫描、开源库依赖检测、机密信息泄露扫描，并能通过Copilot提供修复建议，所有检测均在拉取请求阶段完成，确保问题代码未合并前被发现。

　　GitHub内部测试显示，该AI扫描系统30天内处理了超过17万条检测结果，开发者正面反馈率达80%，验证了其检测结果的有效性，尤其在以往未充分审查的生态系统中展现出强劲的覆盖能力。此外，Copilot Autofix功能的作用愈发凸显，2025年数据显示，其处理的46万余条安全警报平均修复时间仅0.66小时，较未使用该功能时的1.29小时大幅缩短。

　　此次升级并非取代传统静态分析工具，而是顺应行业“AI+规则A引擎”的融合趋势。当前AI代码安全工具虽无法完全替代CodeQL等传统工具，但能有效填补复杂场景下的检测空白，GitHub的这一举措也标志着代码安全正逐步嵌入开发全流程，成为AI增强型防护的重要实践，未来将进一步缓解安全人才短缺压力，提升代码安全防护效率。返回搜狐，查看更多