GitHub ha annunciato l'introduzione in GitHub Code Security di funzionalità basate sull'AI per il rilevamento delle vulnerabilità, con l'obiettivo di estendere la copertura delle falle a linguaggi e framework che l'analisi statica tradizionale fatica a presidiare. L'annuncio, pubblicato sul blog ufficiale di GitHub, anticipa una public preview prevista per il secondo trimestre 2026.

Il punto di partenza è un problema noto a chi lavora con codebase moderne: CodeQL, il motore di analisi semantica su cui si appoggia GitHub Code Security, garantisce una copertura profonda e precisa per i linguaggi enterprise tradizionali. Tuttavia, i repository attuali sono ecosistemi eterogenei che includono script di automazione, file di configurazione infrastrutturale, definizioni di container e componenti scritti in linguaggi che esulano dal perimetro coperto dall'analisi statica. Il risultato è una zona d'ombra che si allarga man mano che l'adozione dell'AI accelera i cicli di sviluppo e amplia la varietà tecnologica dei progetti.

Arriva il modello ibrido

La risposta di GitHub è un modello di rilevamento ibrido che affianca i nuovi rilevamenti AI a CodeQL, senza sostituirlo. In questo schema, l'analisi semantica statica resta il riferimento per i linguaggi supportati; l'AI estende la copertura agli ecosistemi che CodeQL non presidiava, ragionando su una gamma più ampia di tipi di file e contesti. I target iniziali di questa copertura ampliata includono Shell e Bash, Dockerfile, configurazioni Terraform in HCL e PHP, ossia ambienti comuni in pipeline DevOps e infrastrutture cloud che fino ad oggi restavano sostanzialmente fuori dalla scansione automatizzata di sicurezza integrata in GitHub.

Il punto di integrazione è la pull request, che GitHub considera il passaggio più efficace per intercettare i rischi perché è dove il codice viene revisionato e approvato prima di essere unito al branch principale. Quando viene aperta una pull request, GitHub Code Security analizza automaticamente le modifiche usando il metodo più appropriato al contesto (CodeQL o rilevamento AI) e i risultati appaiono direttamente nell'interfaccia di revisione del codice insieme agli altri segnali di code review. Le categorie di problemi che il sistema è in grado di rilevare includono query SQL costruite con concatenazione di stringhe non sicura, algoritmi crittografici deboli e configurazioni infrastrutturali che espongono risorse sensibili.

Il modello ibrido è stato testato internamente con risultati significativi: in 30 giorni il sistema ha elaborato oltre 170.000 rilevamenti, con una percentuale di feedback positivo dagli sviluppatori superiore all'80%. I risultati mostrano una copertura solida proprio negli ecosistemi nuovi, che in precedenza non beneficiavano di un'analisi automatizzata adeguata all'interno del workflow GitHub nativo.

Il link tra rilevamento e remediation avviene attraverso Copilot Autofix, che suggerisce le correzioni direttamente nella pull request nell’ambito del normale processo di revisione del codice. I dati di utilizzo in produzione indicano che nel 2025 Autofix ha risolto oltre 460.000 alert di sicurezza, riducendo il tempo medio di risoluzione a 0,66 ore rispetto alle 1,29 ore necessarie senza assistenza AI. Questa capacità è considerata parte integrante della più ampia piattaforma di rilevamento agentica, che ambisce a coprire sicurezza, qualità del codice e revisione all'interno dello stesso flusso di lavoro degli sviluppatori.

Dal punto di vista dei team di security, posizionare il controllo di sicurezza nel punto descritto, con possibilità di applicare policy direttamente su dove il codice viene revisionato e approvato, attua un modello operativo di prevenzione integrata nel ciclo di sviluppo con evidenti benefici di sicurezza.

La funzionalità oggetto di questo articolo sarà accessibile come parte del pacchetto esistente per i repository privati e interni alle organizzazioni che usano GitHub Advanced Security (GHAS). Per i repository pubblici, GitHub Code Security è disponibile gratuitamente con alcune limitazioni.