En un contexto en el que la inteligencia artificial (IA) está transformando el desarrollo de software, GitHub ha anunciado la incorporación de detecciones de seguridad impulsadas por IA en su plataforma GitHub Code Security. Esta innovadora característica busca ampliar la cobertura de seguridad de aplicaciones a través de una variedad de lenguajes y frameworks que, tradicionalmente, no se han abordado con análisis estático convencional. La disponibilidad en vista pública está prevista para principios del segundo trimestre de 2024.
A pesar de que el análisis estático sigue siendo una herramienta eficaz para identificar vulnerabilidades en los lenguajes compatibles, GitHub reconoce que los modernos repositorios de código suelen incluir componentes y scripts construidos en diversos ecosistemas adicionales. Para enfrentar esta realidad, GitHub Code Security ha combinado su tecnología de análisis profundo, CodeQL, con nuevas detecciones de seguridad basadas en IA. Este modelo híbrido tiene el potencial de descubrir vulnerabilidades y sugerir correcciones directamente en el flujo de trabajo de las solicitudes de extracción (pull requests), facilitando así la labor de los desarrolladores.
Durante pruebas internas, el sistema logró procesar más de 170,000 hallazgos en un periodo de 30 días, obteniendo más del 80% de comentarios positivos por parte de los desarrolladores. Los resultados iniciales indican una sólida cobertura en ecosistemas ahora soportados por las detecciones impulsadas por IA, como Shell/Bash, archivos Docker, configuraciones de Terraform (HCL) y PHP.
La integración de estas detecciones de seguridad se produce en un contexto donde las solicitudes de extracción ya son el entorno donde los desarrolladores revisan y aprueban cambios, lo que permite identificar y abordar riesgos de seguridad en una fase temprana del proceso. Al abrir una solicitud de extracción, GitHub Code Security analiza automáticamente los cambios utilizando el enfoque de detección más adecuado, ya sea análisis estático o detecciones de seguridad impulsadas por IA. Los resultados son visibles de inmediato junto a otros hallazgos de escaneo de código, lo que ayuda a resaltar riesgos, como consultas SQL inseguras o configuraciones de infraestructura que pueden exponer recursos sensibles.
Además, para asegurar que las vulnerabilidades se reparen de manera rápida y efectiva, GitHub ha incorporado una función denominada Copilot Autofix. Esta herramienta sugiere correcciones que los desarrolladores pueden revisar, probar y aplicar como parte del proceso habitual de revisión de código. Según datos recientes, Autofix ha solucionado más de 460,000 alertas de seguridad en 2025, logrando una media de resolución de 0.66 horas en comparación con 1.29 horas sin la funcionalidad.
Con estas mejoras, GitHub enfatiza su posición en el flujo de trabajo de desarrollo al permitir que los equipos de seguridad impongan resultados de seguridad en el punto de aprobación del código, antes de que este se despliegue. Durante la RSA Conference, GitHub ofrecerá una demostración de cómo las detecciones de seguridad impulsadas por IA pueden ampliar la cobertura de seguridad de aplicaciones directamente dentro de las solicitudes de extracción, reflejando así una dirección más amplia hacia un análisis estático potenciado por IA como parte de su plataforma de detección.
vía: GitHub Security
