🟡 🛡️ Sicherheit Veröffentlicht: · 2 Min. Lesezeit ·

GitHub: KI-Sicherheitserkennung bei Pull Requests und /security-review in der Copilot-App

Redaktionelle Illustration: GitHub-Pull-Request-Oberfläche mit hervorgehobenen KI-Sicherheitswarnungen und Copilot-Chat-Fenster mit dem Befehl /security-review

GitHub hat KI-generierte Sicherheitserkennungen direkt bei Pull Requests in Code Scanning eingeführt, zusammen mit dem neuen Befehl /security-review in der Copilot-App, der Code auf Injection, XSS, Path-Traversal und schwache Kryptografie analysiert.

🤖

Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.

Was ist SAST und warum integriert GitHub KI in diesen Prozess?

Statische Anwendungssicherheitsprüfung (SAST, engl. Static Application Security Testing) ist eine Methode, die Quellcode automatisch auf Sicherheitslücken prüft — vor dem Ausführen der Anwendung und vor dem Einbinden des Codes. GitHubs Code Scanning verwendet bereits CodeQL als primäres SAST-Tool, aber CodeQL unterstützt nativ nur eine begrenzte Anzahl von Programmiersprachen. Die neue KI-Schicht schließt diese Lücke und bringt Sicherheitsanalyse für Sprachen, die CodeQL bisher nicht abdeckte.

KI-Erkennungen direkt bei Pull Requests

GitHub Code Scanning zeigt nun KI-generierte Sicherheitserkennungen direkt in der Pull-Request-Oberfläche an. Jede Erkennung ist klar mit dem Label AI gekennzeichnet, damit Entwicklerinnen und Entwickler traditionelle CodeQL-Befunde von KI-generierten unterscheiden können. Der entscheidende Vorteil ist die Abdeckung: KI-Erkennungen decken Sprachen ab, die CodeQL nicht nativ unterstützt, wodurch die Sicherheitsprüfung auf eine größere Bandbreite von Codebasen ausgeweitet wird. Entwicklerinnen und Entwickler erhalten Warnungen genau dann, wenn ein Eingriff am günstigsten ist — vor dem Merge, nicht erst nach dem Deployment.

Neuer Befehl /security-review in der Copilot-App

Parallel zur Code-Scanning-Änderung führt GitHub den Befehl /security-review in der GitHub-Copilot-Chat-Oberfläche ein. Nutzende können Code oder eine gesamte Datei markieren und eine Sicherheitsanalyse direkt aus dem Chat heraus starten. Das System erkennt vier Schwachstellenkategorien: Injection-Angriffe (SQL, Command Injection), Cross-Site-Scripting (XSS), Path Traversal und schwache Kryptografie. Anders als Code Scanning, das automatisch in der CI/CD-Pipeline läuft, ist /security-review ein interaktives Tool, das Entwicklerinnen und Entwickler bei Bedarf aufrufen — etwa beim Überprüfen von fremdem Code oder beim Refactoring sensibler Bereiche.

Integration und Marktkontext

Beide Neuerungen wurden am selben Tag als koordinierter GitHub-Vorstoß in KI-gestützte Sicherheit veröffentlicht. Zum Vergleich: Konkurrenten wie Snyk und Semgrep bieten bereits länger eine KI-Schicht auf statischer Analyse an, aber die Integration direkt in die GitHub-Oberfläche — ohne zusätzliche Tools oder Lizenzen — bedeutet, dass Sicherheitsanalyse für alle GitHub-Copilot-Nutzenden verfügbar wird, unabhängig von Projekttyp oder Sprache.

Häufig gestellte Fragen

Was ist statische Code-Analyse (SAST/Code-Scanning)?
Statische Anwendungssicherheitsprüfung (SAST) ist eine Methode, die Quellcode automatisch auf Sicherheitslücken prüft, bevor der Code in den Hauptzweig eingebunden wird — ohne die Anwendung auszuführen.
Welche Schwachstellentypen erkennt /security-review in der Copilot-App?
Der Befehl /security-review analysiert Code auf Injection-Angriffe, Cross-Site-Scripting (XSS), Path-Traversal-Schwachstellen und schwache Kryptografie.

📬 KI-News in dein Postfach

Ein täglicher Digest nach deinen Regeln — Themen, Quellen und Rhythmus wählbar. Abmeldung mit einem Klick.