内容管家
评论13字数 443阅读1分28秒阅读模式
导语
GitHub 推出 Code Security,将安全能力深度嵌入开发者工作流。该平台通过静态分析、AI 驱动的修复建议、依赖扫描与漏洞管理,帮助团队在现有 GitHub 流程中自动发现、排序并修复安全问题,实现"开发即安全"。
核心数据
| 指标 | 数据 |
|---|---|
| 从发现漏洞到修复的平均耗时 | 28 分钟 |
| Copilot Autofix 平均修复速度提升 | 3 倍 |
| 支持 AI 修复建议的告警类型占比 | 90% |
主要功能
Copilot Autofix
Copilot Autofix 利用 AI 分析 CodeQL 识别出的安全漏洞,结合代码上下文生成精准修复方案。开发者可在工作流中直接预览并应用 AI 建议,大幅缩短漏洞修复周期。
依赖分析(Dependency Review)
依赖审核&查验在拉取请求阶段扫描有漏洞的依赖项,通过对比基准分支与头部分支,清晰呈现新增、移除及更新的依赖包及其已知漏洞,防止安全问题合并入代码库。
安全 Campaign
Security Campaigns 提供结构化框架,支持跨仓库、跨团队规划、跟踪和执行安全修复。安全团队可将同类漏洞分组、设定优先级、分配责任人,并通过统一仪表盘监控进度,适用于按漏洞类型、合规要求或安全项目组织的修复工作。
EPSS 风险评估
Dependabot 告警现已集成 FIRST(全球事件响应与安全团队论坛)的利用预测评分系统(EPSS)。EPSS 预测漏洞在未来 30 天内被利用的概率,提供 0~1(0~100%)的评分及百分位排名,辅助团队更科学地排序修复优先级。
评论