3 月 21 日，GitHub 推出的全新“代碼掃描”功能，面向所有享有Advanced Security（GHAS）許可的用戶，旨在查找并識(shí)別代碼中的安全漏洞及編碼錯(cuò)誤。

此項(xiàng)新功能依靠Copilot及CodeQL（GitHub自主研發(fā)的代碼分析引擎，專司自動(dòng)化安全檢測(cè)），能夠找出潛藏于代碼之中的漏洞或錯(cuò)誤，并對(duì)其進(jìn)行歸類和排序，以便按照優(yōu)先級(jí)進(jìn)行修復(fù)。值得注意的是，“代碼掃描”功能需要占用GitHub Actions的時(shí)間資源。

“代碼掃描”功能還能預(yù)防新手引入新的問(wèn)題，并支持在設(shè)定的日期和時(shí)間進(jìn)行掃描，或者讓特定事件（如推送到倉(cāng)庫(kù)中）觸發(fā)掃描。若AI判定代碼內(nèi)可能存在隱患，GitHub將在倉(cāng)庫(kù)中發(fā)出預(yù)警，待用戶修正引發(fā)求救信號(hào)的部分后，再撤銷警告。

為了查看自己倉(cāng)庫(kù)或是組織的“代碼掃描”結(jié)果，用戶可以通過(guò)web掛鉤和code scannning API進(jìn)行監(jiān)控。此外，“代碼掃描”亦可與支持輸出靜態(tài)分析結(jié)果交換格式 （SARIF）數(shù)據(jù)的第三方代碼掃描工具實(shí)現(xiàn)互通。

當(dāng)前，通過(guò)CodeQL進(jìn)行“代碼掃描”的三種主要方式如下：

使用默認(rèn)設(shè)置，迅速在倉(cāng)庫(kù)上配置相關(guān)的CodeQL分析。這一步驟會(huì)自動(dòng)挑選所需分析的語(yǔ)言、查詢套件，以及觸發(fā)掃描的條件。若需更改，也可手動(dòng)調(diào)整。啟動(dòng)CodeQL后，GitHubActions將執(zhí)行一系列任務(wù)以檢測(cè)代碼。

利用高級(jí)設(shè)置，向倉(cāng)庫(kù)中添加CodeQL工作流。該流程將生成自定義的工作流文件，并運(yùn)用github/codeql-action運(yùn)行CodeQL CLI。

直接在外部CI系統(tǒng)中運(yùn)行CodeQL CLI，然后將得到的結(jié)果上傳至GitHub。

GitHub表示，這一AI系統(tǒng)具備修復(fù)其所發(fā)現(xiàn)漏洞的能力，三分之二以上的漏洞無(wú)需人工干預(yù)即可自行修復(fù)。他們還承諾，代碼掃描自動(dòng)修復(fù)將覆蓋其所支持語(yǔ)言中超過(guò)90%的問(wèn)題類型，涵蓋JavaScript、Typescript、Java和Python等。