GitHub добавил ИИ-проверку безопасности в пулл-реквесты
GitHub расширил возможности сканирования кода: теперь платформа может автоматически искать потенциальные уязвимости с помощью искусственного интеллекта и показывать результаты прямо в пулл-реквесте. Новая функция охватывает языки и фреймворки, для которых пока нет встроенного анализа CodeQL. Сейчас она доступна в режиме публичного предварительного тестирования.
ИИ-проверка запускается автоматически при создании или обновлении пулл-реквеста. Найденные проблемы отображаются вместе с остальными результатами сканирования кода, поэтому разработчик может изучить их и внести исправления до слияния изменений с основной веткой.
Срабатывания, полученные с помощью ИИ, помечаются меткой AI. Это позволяет отличить их от результатов статического анализа CodeQL. Результаты появляются по мере завершения проверки: ждать окончания всех запущенных механизмов анализа не требуется.
Главная задача функции — сократить слепые зоны в проектах, где часть кодовой базы написана на языках или использует фреймворки, которые CodeQL пока не поддерживает. При этом GitHub говорит именно о потенциальных проблемах: ИИ-срабатывания носят информационный характер и не блокируют слияние пулл-реквестов. Решение о том, требует ли найденная проблема исправления, остаётся за разработчиком.
Новая функция не заменяет CodeQL. Более того, для её работы в репозитории должен быть включён стандартный режим настройки CodeQL — default setup.
Сам ИИ-анализ выполняет отдельный механизм GitHub, однако он использует инфраструктуру CodeQL. Поэтому включить ИИ-проверку отдельно от штатного сканирования кода пока нельзя.
Сначала использование функции должен разрешить владелец корпоративной учётной записи на уровне предприятия. После этого её можно включить на уровне организации для
Читать на habr.com