🟢 🏥 U praksi Objavljeno: · 3 min čitanja ·

GitHub Copilot CLI dobiva /security-review naredbu za skeniranje ranjivosti bez napuštanja terminala

Editorial ilustracija: GitHub Copilot CLI naredba za sigurnosni pregled koda i skeniranje tajnih ključeva

GitHub je u javnu pretpregled uveo namjensku /security-review naredbu u Copilot CLI-ju — eksperimentalni alat koji skenira lokalne promjene koda za sigurnosne ranjivosti unutar terminala, neovisno o postojećim alatima poput Dependabota i code scanninga. Naredba pokriva 11 kategorija ranjivosti s ocjenama ozbiljnosti i prijedlozima za primjenu.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

GitHub je 10. lipnja 2026. najavio namjensku naredbu /security-review u Copilot CLI-ju (engl. command-line interface, sučelju naredbenog retka), dostupnu u javnoj pretpregledu (engl. public preview) kao eksperimentalna funkcionalnost. Cilj je jasan: programeri trebaju moći skenirati vlastite promjene koda na sigurnosne ranjivosti bez napuštanja terminala.

Što donosi nova naredba /security-review?

Naredba analizira lokalne promjene koda i dostavlja nalaze razvrstane po ozbiljnosti (engl. severity) i pouzdanosti (engl. confidence), zajedno s prijedlozima koje se može odmah primijeniti. Cijeli proces odvija se unutar terminala — bez otvaranja preglednika ili web sučelja.

Za aktivaciju je potrebno uključiti eksperimentalni način rada Copilot CLI-ja. Nakon toga /security-review je dostupan u svakom projektu za analizu trenutnih lokalnih promjena.

11 kategorija ranjivosti koje naredba pokriva

Naredba skenira 11 kategorija ranjivosti:

  1. Injection napadi (engl. injection flaws) — SQL, command i LDAP ubacivanje
  2. XSS napadi (engl. cross-site scripting) — ubacivanje skripti u web sučelja
  3. Pogrešna kontrola pristupa (engl. broken access control)
  4. Path traversal — neovlašteni pristup datotekama izvan predviđenih direktorija
  5. SSRF (engl. Server-Side Request Forgery) — prisiljavanje servera na neželjene zahtjeve
  6. Nesigurna deserijalizacija (engl. insecure deserialization)
  7. Prototype pollution — manipulacija JavaScript prototipnim lancem
  8. Slaba kriptografija (engl. weak cryptography)
  9. Tvrdo kodirani vjerodajnici (engl. hardcoded credentials)
  10. Curenje osjetljivih podataka (engl. sensitive data leaks)
  11. Rizici dobavnog lanca (engl. supply-chain risks) — ovisnosti bez prikvačene verzije (engl. unpinned dependencies)

Posebno vrijedi istaknuti jednu kategoriju karakterističnu za moderni razvoj: naredba prepoznaje i cross-prompt injection (XPIA) kao posebnu vrstu ranjivosti specifičnu za kôd koji integrira jezične modele, što odražava rastuću prisutnost AI komponenti u aplikacijama.

Neovisno od postojećih sigurnosnih alata

/security-review djeluje neovisno od triju postojećih sigurnosnih mehanizama na GitHubu:

  • Code scanning — statička analiza koda integrirana u CI/CD proces
  • Dependabot — automatski pull requestovi za sigurnosne nadogradnje ovisnosti
  • Secret scanning — otkrivanje tajnih ključeva i lozinki u repozitorijima

Nije im zamjena. Radi se o komplementarnom, laganom alatu za provjeru na zahtjev (engl. on-demand). Dok postojeći alati rade automatski na repozitoriju pri svakom pushu, /security-review je namijenjen programeru koji želi odmah — lokalno, u trenutku pisanja koda — provjeriti promjene prije nego što ih uopće pošalje na server.

Manje trenja između pisanja koda i sigurnosti

Integracija sigurnosnog skeniranja izravno u terminal smanjuje trenje između pisanja koda i otkrivanja ranjivosti. Umjesto čekanja na automatski CI scan ili ručnog pokretanja eksternih alata, programer može pozvati /security-review u trenutku kad to ima najviše smisla — odmah nakon pisanja relevantnih promjena, dok je kontekst još svjež i ispravak najjeftiniji.

Naredba je dostupna svim korisnicima GitHub Copilota koji aktiviraju eksperimentalni način rada. GitHub prikuplja povratne informacije putem GitHub Community diskusije. Kao eksperimentalna funkcionalnost u pretpregledu, podložna je promjenama — opseg skeniranja i preciznost mogu se mijenjati bez prethodne najave.

Česta pitanja

Što radi /security-review naredba u GitHub Copilot CLI-ju?
Naredba skenira lokalne promjene koda za sigurnosne ranjivosti unutar terminala, bez potrebe za napuštanjem razvojnog okruženja. Rezultati su razvrstani po ozbiljnosti i pouzdanosti, s prijedlozima koji se mogu odmah primijeniti.
Koje kategorije ranjivosti /security-review pokriva?
Naredba pokriva 11 kategorija: injection napadi, XSS, pogrešna kontrola pristupa, path traversal, SSRF, nesigurna deserijalizacija, prototype pollution, slaba kriptografija, tvrdo kodirani vjerodajnici, curenje podataka i supply-chain rizici s neprikvačenim ovisnostima.
Je li /security-review zamjena za Dependabot i code scanning?
Ne — naredba je komplementarni, lagani alat za provjeru na zahtjev. Djeluje neovisno od Dependabota, code scanninga i secret scanninga, namijenjeno je programeru koji želi odmah provjeriti lokalne promjene prije guranja koda.

📬 AI vijesti u tvoj inbox

Dnevni digest po tvojoj mjeri — biraš teme, izvore i ritam. Odjava jednim klikom.