GitHub：免费代码安全评估工具可在几分钟内发现漏洞

GitHub推出了一款免费的代码安全风险评估工具，使用强大的CodeQL引擎进行静态分析。该工具可自动扫描组织中最活跃的20个仓库并生成详细报告。

工具提供什么？

Code Security Risk Assessment提供按以下维度分类的漏洞概览：

• 严重性 — 严重、高、中、低
• 编程语言 — 识别组织中问题最多的语言
• 安全规则 — 显示最常见的漏洞类型
• 仓库 — 揭示哪些项目风险最大

该工具面向Enterprise Cloud和Team计划的组织管理员，无需配置，使用免费的GitHub Actions分钟数。

AI辅助修复的惊人数据

GitHub还公布了其Copilot Autofix自动漏洞修复工具的统计数据：

• 2025年通过Copilot Autofix修复了460,258个安全警告
• 平均修复时间：0.66小时（相比手动修复的1.29小时）
• 该工具与现有的Secret Risk Assessment（用于发现泄露的密钥）互为补充

为什么这对开发者很重要？

代码中的安全债务积累速度远超团队手动处理的速度。免费的风险评估工具使组织能够快速识别最关键的问题并优先安排修复——在漏洞进入生产环境之前。