🟢 🏥 实践应用 发布于: · 2 分钟阅读 ·

GitHub Copilot CLI获得/security-review命令:无需离开终端即可扫描漏洞

编辑配图:GitHub Copilot CLI代码安全审查与密钥扫描命令

GitHub已将专用的/security-review命令引入Copilot CLI公开预览——这是一个在终端内扫描本地代码变更安全漏洞的实验性工具,独立于Dependabot和代码扫描等现有工具。该命令覆盖11类漏洞,并提供严重性评级和可立即应用的修复建议。

🤖

本文由人工智能基于一手来源生成。

GitHub于2026年6月10日宣布在Copilot CLI(command-line interface,命令行界面)中推出专用命令**/security-review**,作为实验性功能进入公开预览(public preview)。目的明确:开发者无需离开终端即可扫描自己的代码变更安全漏洞。

新的/security-review命令带来什么?

该命令分析本地代码变更,并按严重性severity)和可信度confidence)分级呈现调查结果,同时提供可立即应用的修复建议。整个过程在终端内完成——无需打开浏览器或网页界面。

使用前需要启用Copilot CLI的实验性模式。启用后,/security-review即可在任何项目中分析当前的本地变更。

11类漏洞覆盖范围

该命令扫描11类漏洞

  1. 注入攻击injection flaws)——SQL、命令和LDAP注入
  2. XSS攻击cross-site scripting)——向Web界面注入脚本
  3. 访问控制错误broken access control
  4. 路径遍历——未授权访问预定目录外的文件
  5. SSRFServer-Side Request Forgery)——强迫服务器发出非预期请求
  6. 不安全反序列化insecure deserialization
  7. 原型污染prototype pollution)——操纵JavaScript原型链
  8. 弱加密weak cryptography
  9. 硬编码凭据hardcoded credentials
  10. 敏感数据泄露sensitive data leaks
  11. 供应链风险supply-chain risks)——使用未固定版本(unpinned)的依赖

值得特别指出的是一个现代开发特有的类别:该命令将**跨提示注入(XPIA)**识别为集成语言模型代码的特有漏洞类型,这反映了AI组件在应用中日益增长的普遍性。

独立于现有安全工具

/security-review独立于GitHub上现有的三种安全机制运行:

  • 代码扫描(code scanning)——集成在CI/CD流程中的静态代码分析
  • Dependabot——针对依赖安全更新的自动pull request
  • 密钥扫描(secret scanning)——检测仓库中的密钥和密码

它不是这些工具的替代品,而是一个互补的轻量级按需检查工具on-demand)。现有工具在每次推送时自动对仓库运行,而/security-review则面向希望立即——在本地、代码编写当时——在推送到服务器之前检查变更的开发者。

减少编码与安全之间的摩擦

将安全扫描直接集成到终端中,减少了编写代码与发现漏洞之间的摩擦。无需等待自动CI扫描或手动运行外部工具,开发者可以在最有意义的时候调用/security-review——恰好在编写相关变更之后,此时上下文最清晰,修复成本也最低。

该命令对所有启用实验性模式的GitHub Copilot用户开放。GitHub通过GitHub Community讨论收集反馈。作为公开预览中的实验性功能,该命令可能发生变化——扫描范围和精度可能在未另行通知的情况下调整。

常见问题

GitHub Copilot CLI中的/security-review命令有什么用途?
该命令在终端内扫描本地代码变更的安全漏洞,无需离开开发环境。结果按严重性和可信度分级,并附带可立即应用的修复建议。
/security-review涵盖哪些漏洞类别?
该命令覆盖11个类别:注入攻击、XSS、访问控制错误、路径遍历、SSRF、不安全反序列化、原型污染、弱加密、硬编码凭据、数据泄露,以及使用未固定依赖的供应链风险。
/security-review是Dependabot和代码扫描的替代品吗?
不是——该命令是一个互补的轻量级按需检查工具。它独立于Dependabot、代码扫描和密钥扫描运行,专为希望在推送代码前立即检查本地变更的开发者设计。

📬 AI 新闻直达您的邮箱

按您的方式定制每日摘要——自选主题、来源和频率,一键退订。