🟢 🏥 In der Praxis Veröffentlicht: · 3 Min. Lesezeit ·

GitHub Copilot CLI erhält /security-review-Befehl zum Scannen von Schwachstellen ohne Terminal zu verlassen

Redaktionelle Illustration: GitHub Copilot CLI-Befehl für Sicherheitsüberprüfung von Code und Scannen von Secret Keys

GitHub hat einen dedizierten /security-review-Befehl im Copilot CLI in die öffentliche Vorschau eingeführt — ein experimentelles Tool, das lokale Code-Änderungen auf Sicherheitsschwachstellen im Terminal scannt, unabhängig von bestehenden Tools wie Dependabot und Code Scanning. Der Befehl deckt 11 Schwachstellenkategorien mit Schweregradeinschätzungen und Korrekturvorschlägen ab.

🤖

Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.

GitHub hat am 10. Juni 2026 den dedizierten Befehl /security-review im Copilot CLI (engl. command-line interface) angekündigt, verfügbar in der öffentlichen Vorschau (engl. public preview) als experimentelle Funktion. Das Ziel ist klar: Entwickler sollen eigene Code-Änderungen auf Sicherheitsschwachstellen scannen können, ohne das Terminal zu verlassen.

Was bringt der neue /security-review-Befehl?

Der Befehl analysiert lokale Code-Änderungen und liefert Befunde, die nach Schweregrad (engl. severity) und Zuverlässigkeit (engl. confidence) sortiert sind, zusammen mit Vorschlägen, die sofort angewendet werden können. Der gesamte Prozess findet im Terminal statt — ohne Browser oder Web-Schnittstelle zu öffnen.

Zur Aktivierung muss der experimentelle Modus des Copilot CLI eingeschaltet werden. Danach ist /security-review in jedem Projekt zur Analyse aktueller lokaler Änderungen verfügbar.

11 Schwachstellenkategorien, die der Befehl abdeckt

Der Befehl scannt 11 Schwachstellenkategorien:

  1. Injection-Angriffe (engl. injection flaws) — SQL-, Befehls- und LDAP-Einschleusung
  2. XSS-Angriffe (engl. cross-site scripting) — Einschleusung von Skripten in Web-Schnittstellen
  3. Fehlerhafte Zugangskontrolle (engl. broken access control)
  4. Path Traversal — unbefugter Zugriff auf Dateien außerhalb der vorgesehenen Verzeichnisse
  5. SSRF (engl. Server-Side Request Forgery) — Erzwingen unerwünschter Server-Anfragen
  6. Unsichere Deserialisierung (engl. insecure deserialization)
  7. Prototype Pollution — Manipulation der JavaScript-Prototyp-Kette
  8. Schwache Kryptographie (engl. weak cryptography)
  9. Hartkodierte Zugangsdaten (engl. hardcoded credentials)
  10. Lecks sensibler Daten (engl. sensitive data leaks)
  11. Supply-Chain-Risiken (engl. supply-chain risks) — Abhängigkeiten ohne angeheftete Version (engl. unpinned dependencies)

Besonders erwähnenswert ist eine für moderne Entwicklung charakteristische Kategorie: Der Befehl erkennt auch Cross-Prompt Injection (XPIA) als speziellen Schwachstellentyp für Code, der Sprachmodelle integriert — was die wachsende Präsenz von KI-Komponenten in Anwendungen widerspiegelt.

Unabhängig von bestehenden Sicherheits-Tools

/security-review funktioniert unabhängig von drei bestehenden Sicherheitsmechanismen auf GitHub:

  • Code Scanning — statische Code-Analyse, integriert in den CI/CD-Prozess
  • Dependabot — automatische Pull Requests für Sicherheitsupdates von Abhängigkeiten
  • Secret Scanning — Erkennung von Secret Keys und Passwörtern in Repositories

Es ersetzt sie nicht. Es handelt sich um ein komplementäres, leichtgewichtiges On-Demand-Tool (engl. on-demand). Während bestehende Tools automatisch auf dem Repository bei jedem Push arbeiten, ist /security-review für Entwickler gedacht, die sofort — lokal, im Moment des Schreibens — Änderungen prüfen möchten, bevor sie sie überhaupt an den Server schicken.

Weniger Reibung zwischen Code-Schreiben und Sicherheit

Die Integration des Sicherheitsscannens direkt ins Terminal reduziert die Reibung zwischen dem Schreiben von Code und der Erkennung von Schwachstellen. Anstatt auf einen automatischen CI-Scan zu warten oder externe Tools manuell zu starten, kann der Entwickler /security-review in dem Moment aufrufen, in dem es am meisten Sinn ergibt — unmittelbar nach dem Schreiben relevanter Änderungen, während der Kontext noch frisch und die Korrektur am günstigsten ist.

Der Befehl ist für alle GitHub Copilot-Nutzer verfügbar, die den experimentellen Modus aktivieren. GitHub sammelt Rückmeldungen über die GitHub Community-Diskussion. Als experimentelle Funktion in der Vorschau unterliegt sie Änderungen — Scan-Umfang und Präzision können sich ohne vorherige Ankündigung ändern.

Häufig gestellte Fragen

Was macht der /security-review-Befehl im GitHub Copilot CLI?
Der Befehl scannt lokale Code-Änderungen auf Sicherheitsschwachstellen im Terminal, ohne die Entwicklungsumgebung verlassen zu müssen. Ergebnisse werden nach Schweregrad und Zuverlässigkeit sortiert, mit Vorschlägen, die sofort angewendet werden können.
Welche Schwachstellenkategorien deckt /security-review ab?
Der Befehl deckt 11 Kategorien ab: Injection-Angriffe, XSS, fehlerhafte Zugangskontrolle, Path Traversal, SSRF, unsichere Deserialisierung, Prototype Pollution, schwache Kryptographie, hartkodierte Zugangsdaten, Datenlecks und Supply-Chain-Risiken durch nicht angepinnte Abhängigkeiten.
Ist /security-review ein Ersatz für Dependabot und Code Scanning?
Nein — der Befehl ist ein komplementäres, leichtgewichtiges On-Demand-Tool. Er funktioniert unabhängig von Dependabot, Code Scanning und Secret Scanning und ist für Entwickler gedacht, die lokale Änderungen sofort vor dem Push prüfen möchten.

📬 KI-News in dein Postfach

Ein täglicher Digest nach deinen Regeln — Themen, Quellen und Rhythmus wählbar. Abmeldung mit einem Klick.