GitHub Copilot CLI erhält /security-review-Befehl zum Scannen von Schwachstellen ohne Terminal zu verlassen
GitHub hat einen dedizierten /security-review-Befehl im Copilot CLI in die öffentliche Vorschau eingeführt — ein experimentelles Tool, das lokale Code-Änderungen auf Sicherheitsschwachstellen im Terminal scannt, unabhängig von bestehenden Tools wie Dependabot und Code Scanning. Der Befehl deckt 11 Schwachstellenkategorien mit Schweregradeinschätzungen und Korrekturvorschlägen ab.
Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.
GitHub hat am 10. Juni 2026 den dedizierten Befehl /security-review im Copilot CLI (engl. command-line interface) angekündigt, verfügbar in der öffentlichen Vorschau (engl. public preview) als experimentelle Funktion. Das Ziel ist klar: Entwickler sollen eigene Code-Änderungen auf Sicherheitsschwachstellen scannen können, ohne das Terminal zu verlassen.
Was bringt der neue /security-review-Befehl?
Der Befehl analysiert lokale Code-Änderungen und liefert Befunde, die nach Schweregrad (engl. severity) und Zuverlässigkeit (engl. confidence) sortiert sind, zusammen mit Vorschlägen, die sofort angewendet werden können. Der gesamte Prozess findet im Terminal statt — ohne Browser oder Web-Schnittstelle zu öffnen.
Zur Aktivierung muss der experimentelle Modus des Copilot CLI eingeschaltet werden. Danach ist /security-review in jedem Projekt zur Analyse aktueller lokaler Änderungen verfügbar.
11 Schwachstellenkategorien, die der Befehl abdeckt
Der Befehl scannt 11 Schwachstellenkategorien:
- Injection-Angriffe (engl. injection flaws) — SQL-, Befehls- und LDAP-Einschleusung
- XSS-Angriffe (engl. cross-site scripting) — Einschleusung von Skripten in Web-Schnittstellen
- Fehlerhafte Zugangskontrolle (engl. broken access control)
- Path Traversal — unbefugter Zugriff auf Dateien außerhalb der vorgesehenen Verzeichnisse
- SSRF (engl. Server-Side Request Forgery) — Erzwingen unerwünschter Server-Anfragen
- Unsichere Deserialisierung (engl. insecure deserialization)
- Prototype Pollution — Manipulation der JavaScript-Prototyp-Kette
- Schwache Kryptographie (engl. weak cryptography)
- Hartkodierte Zugangsdaten (engl. hardcoded credentials)
- Lecks sensibler Daten (engl. sensitive data leaks)
- Supply-Chain-Risiken (engl. supply-chain risks) — Abhängigkeiten ohne angeheftete Version (engl. unpinned dependencies)
Besonders erwähnenswert ist eine für moderne Entwicklung charakteristische Kategorie: Der Befehl erkennt auch Cross-Prompt Injection (XPIA) als speziellen Schwachstellentyp für Code, der Sprachmodelle integriert — was die wachsende Präsenz von KI-Komponenten in Anwendungen widerspiegelt.
Unabhängig von bestehenden Sicherheits-Tools
/security-review funktioniert unabhängig von drei bestehenden Sicherheitsmechanismen auf GitHub:
- Code Scanning — statische Code-Analyse, integriert in den CI/CD-Prozess
- Dependabot — automatische Pull Requests für Sicherheitsupdates von Abhängigkeiten
- Secret Scanning — Erkennung von Secret Keys und Passwörtern in Repositories
Es ersetzt sie nicht. Es handelt sich um ein komplementäres, leichtgewichtiges On-Demand-Tool (engl. on-demand). Während bestehende Tools automatisch auf dem Repository bei jedem Push arbeiten, ist /security-review für Entwickler gedacht, die sofort — lokal, im Moment des Schreibens — Änderungen prüfen möchten, bevor sie sie überhaupt an den Server schicken.
Weniger Reibung zwischen Code-Schreiben und Sicherheit
Die Integration des Sicherheitsscannens direkt ins Terminal reduziert die Reibung zwischen dem Schreiben von Code und der Erkennung von Schwachstellen. Anstatt auf einen automatischen CI-Scan zu warten oder externe Tools manuell zu starten, kann der Entwickler /security-review in dem Moment aufrufen, in dem es am meisten Sinn ergibt — unmittelbar nach dem Schreiben relevanter Änderungen, während der Kontext noch frisch und die Korrektur am günstigsten ist.
Der Befehl ist für alle GitHub Copilot-Nutzer verfügbar, die den experimentellen Modus aktivieren. GitHub sammelt Rückmeldungen über die GitHub Community-Diskussion. Als experimentelle Funktion in der Vorschau unterliegt sie Änderungen — Scan-Umfang und Präzision können sich ohne vorherige Ankündigung ändern.
Häufig gestellte Fragen
- Was macht der /security-review-Befehl im GitHub Copilot CLI?
- Der Befehl scannt lokale Code-Änderungen auf Sicherheitsschwachstellen im Terminal, ohne die Entwicklungsumgebung verlassen zu müssen. Ergebnisse werden nach Schweregrad und Zuverlässigkeit sortiert, mit Vorschlägen, die sofort angewendet werden können.
- Welche Schwachstellenkategorien deckt /security-review ab?
- Der Befehl deckt 11 Kategorien ab: Injection-Angriffe, XSS, fehlerhafte Zugangskontrolle, Path Traversal, SSRF, unsichere Deserialisierung, Prototype Pollution, schwache Kryptographie, hartkodierte Zugangsdaten, Datenlecks und Supply-Chain-Risiken durch nicht angepinnte Abhängigkeiten.
- Ist /security-review ein Ersatz für Dependabot und Code Scanning?
- Nein — der Befehl ist ein komplementäres, leichtgewichtiges On-Demand-Tool. Er funktioniert unabhängig von Dependabot, Code Scanning und Secret Scanning und ist für Entwickler gedacht, die lokale Änderungen sofort vor dem Push prüfen möchten.
📬 KI-News in dein Postfach
Ein täglicher Digest nach deinen Regeln — Themen, Quellen und Rhythmus wählbar. Abmeldung mit einem Klick.
Verwandte Nachrichten
arXiv:2607.11307: ToMap — Multi-Agenten-Beweisautoformalisierung +19 % über SOTA
Anthropic: Claude Code v2.1.208 und v2.1.209 — Screen-Reader, Vim-Remaps und Wrapper-Unterstützung
arXiv:2607.09415: Selbstgeführtes Test-Time-Training verbessert Langkontext-LLMs um bis zu 15 %