GitHub 將安全性與開發者結合以修復程式碼缺陷

2025.04.20

這家由微軟擁有的廣受歡迎的程式碼儲存庫本週宣布，其安全運營活動（自 2024 年 10 月公開測試以來）現已對 GitHub 高級安全性與 GitHub 程式碼安全性開發者全面開放。

這款 AI 驅動的工具是 GitHub 協助開發者解決在快速進行的 CI/CD 開發流程中積累的安全問題（即所謂的安全債務）最新的步驟。GitHub 在 2023 年將 Copilot Autofix 整合到拉取請求中，該功能使程式設計團隊能夠比手動方式快 60% 解決漏洞與其他安全問題，從而縮短了關鍵修復時間（MTTR）。

GitHub 的專案經理 James Fletcher 在部落格文章中寫道：“Autofix 幫助您在漏洞進入生產環境之前就將其發現，這樣您就能減少修復錯誤的時間，並把更多時間用於編程。” 他還提到：“那麼，現有程式碼中已經潛伏的漏洞該怎麼辦呢？每一個未解決的安全問題都會加重您的安全債務——這是一個您無法忽視的風險。”

Fletcher 寫道，開發團隊通常只解決程式碼中 10% 的安全問題，剩下的 90% 則未解決。

漏洞問題

雲端安全公司 Wiz 在其《2025 年程式碼安全狀況報告》中發現，儘管程式碼漏洞仍然是高安全風險，許多公司卻未能保護其 CI/CD 管道或儲存庫。該公司——Google 正以 320 億美元收購它——指出 80% 的 GitHub 工作流程擁有不安全的權限，這可能讓壞人進行未經授權的修改。

這正是 GitHub 安全運營活動發揮作用的地方。

Fletcher 寫道：“安全運營活動填補了這一空白，將安全專家和開發者聯繫在一起，簡化了在工作流程內進行漏洞修復的過程，並能擴展。”

AI 為核心

這些安全運營活動依賴 GitHub Copilot Autofix，為多達 1,000 個由程式碼掃描所創建的警報生成程式碼建議。安全團隊可以使用這些建議來分診並優先處理警報，而開發者則可以根據這些資訊使用 Autofix 解決問題。由於建議是直接提供給開發者的，因此可以像處理工作中的其他功能一樣將其整合進流程中。

運營活動中還包括通知開發者，告知他們或他們的團隊負責哪些警報，並指定一位負責管理該流程的經理。

此外，開發者可以選擇一組相關的警報，這樣開發者可以通過解決一個警報所學到的經驗來修復其他警報。開發者還可以使用 REST API 以更輕鬆的方式大規模地與運營活動互動。