L'IA accelererà la rilevazione degli errori nei progetti su GitHub

GitHub avvia la scansione del codice con IA in Code Security

*GitHub ha annunciato l'introduzione di una nuova funzionalità di scansione del codice sorgente utilizzando l'intelligenza artificiale (IA) nel servizio Code Security.*

Questa tecnologia consentirà di rilevare vulnerabilità che l'analisi statica tradizionale di CodeQL non può individuare, ampliando la copertura a un maggior numero di linguaggi e framework.

Cosa c'è di nuovo?
PuntoDescrizioneObiettivoRilevare problemi di sicurezza dove CodeQL normale è insufficiente. Ecosistemi supportatiShell/Bash, Dockerfiles, Terraform, PHP e altri linguaggi/frameworks.Modello di lavoroFormatoDi lavoroModello ibrido: passa tra CodeQL e lo scanner IA se necessario.
Il test pubblico del modello ibrido è previsto per l'inizio del secondo trimestre del 2026.

Integrazione nei flussi di lavoro
* Integrazione nativa – gli strumenti funzionano direttamente all'interno dei repository GitHub e nei flussi CI/CD.

* Accessibilità – il servizio è gratuito (con limitazioni) per i progetti pubblici. Gli abbonati a pagamento ottengono l'intero pacchetto tramite GitHub Advanced Security (GHAS).

Cosa verifica il nuovo scanner?
1. Il codice per la presenza di vulnerabilità note.
2. Dipendenze e librerie aperte – ricerca di pacchetti vulnerabili.
3. Perdite di credenziali in risorse pubbliche.
4. Avvisi con raccomandazioni dall'assistente IA Copilot.

La scansione avviene a livello di pull request (PR). All'apertura del PR, il sistema sceglie automaticamente lo strumento appropriato – CodeQL o lo scanner IA – per individuare minacce prima dell'inclusione di codice potenzialmente problematico. Gli avvisi appaiono direttamente nella finestra PR.

Risultati dei test interni
* Elaborati: oltre 170 000 incidenti in 30 giorni.
* Feedback degli sviluppatori: 80 % positivi, confermando l'utilità delle problematiche individuate.

Copilot Autofix – soluzioni rapide
GitHub ha inoltre sottolineato il ruolo di Copilot Autofix nella correzione automatica delle vulnerabilità trovate.

IndicatoreValoreElaborati oltre 460 000 avvisi di sicurezza nel 2025. Tempo medio di risoluzione 0,66 ore con Autofix; senza di esso – 1,29 ore.

Conclusioni
Con la scansione IA, GitHub amplia la copertura di Code Security, consentendo di rilevare e correggere rapidamente vulnerabilità in un più ampio spettro di tecnologie. Ciò rafforza la protezione dei repository sia per i progetti pubblici gratuiti che per i clienti a pagamento con GHAS.