GitHub 結合資安與開發者 攜手修復程式碼漏洞

GitHub 正在將開發者與資安專家連結起來，以減少工作流程中現有程式碼中潛藏的漏洞數量。

這個廣受歡迎、隸屬於微軟的程式碼儲存平台，本週表示，其在 2024 年 10 月公開預覽的「資安活動（security campaigns）」現已正式提供給 GitHub Advanced Security 與 GitHub Code Security 的開發者使用。

這項由 AI 驅動的工具，是 GitHub 協助開發者解決在高速 CI/CD 開發流程中累積的資安問題（也就是所謂的「資安債務」）的最新一步。GitHub 在 2023 年將 Copilot Autofix 整合進拉取請求（pull requests），據該公司表示，這讓開發團隊能夠以比人工方式快 60% 的速度解決漏洞與其他資安問題，顯著降低了「關鍵平均修復時間（MTTR）」。

「Autofix 可在漏洞進入正式環境之前就偵測並修復它們，讓你能花更少時間修 bug，更多時間專注寫程式，」GitHub 專案經理 James Fletcher 在部落格文章中寫道。「但那些已經潛伏在既有程式碼中的漏洞怎麼辦呢？每一個未解決的資安問題都會累積成資安債務——這是一種你無法忽視的風險。」

Fletcher 指出，開發團隊通常只處理約 10% 的程式碼資安問題，留下高達 90% 處於未解決狀態。

漏洞的問題

雲端資安公司 Wiz 在《2025 程式碼安全現況報告》中發現，儘管程式碼漏洞依然是重大的資安風險，許多公司並未妥善保護其 CI/CD 管線或儲存庫。這家公司——目前正被 Google 以 320 億美元收購——指出，80% 的 GitHub 工作流程具有不安全的權限設定，這可能讓惡意行為者有機可乘，進行未授權的修改。

這正是 GitHub 資安活動發揮作用的地方。

「資安活動彌補了這個缺口，透過將資安專家與開發者連結在一起，讓漏洞修復流程可以直接在你的工作流程中進行，並具備可擴展性，」Fletcher 寫道。

AI 是核心

資安活動仰賴 GitHub Copilot Autofix 為最多 1,000 個由程式碼掃描所產生的警示提供程式碼建議。資安團隊可以利用這些建議進行警示的分類與優先排序，而開發者則可以根據這些資訊，透過 Autofix 處理問題。由於這些建議直接在 GitHub 中提供給開發者，因此可以如同其他功能一樣，自然地納入開發流程中。

資安活動中也包含通知機制，提醒開發者其個人或其團隊需負責處理哪些警示，並指定一名經理來監督整個流程。

此外，開發者還能選擇一組相關性高的警示群組，讓他們能夠藉由解決一項問題的經驗，快速修復其他相似問題。開發者也能透過 REST API 更輕鬆地在大規模情境下與資安活動互動。

解決關鍵需求

Fletcher 表示，這是在程式開發中不可或缺的一環。

「針對現有程式碼中已存在的資安問題進行分類與優先排序，必須成為正常軟體開發生命週期的一部分，」他寫道。「但不幸的是，當產品團隊面臨趕工壓力時，往往無暇仔細檢查所有資安警示，以決定優先處理哪些問題。所幸，在多數軟體開發組織中，早已有一群專精於這類風險評估的成員：資安團隊。」

GitHub 發現，早期參與資安活動的企業中，有 55% 的警示被成功修復，而在未參與此流程的情況下，修復率僅為 10%。

「這顯示出，當警示被納入資安活動後，開發團隊能有更多時間處理資安債務，因為優先順序已經由資安團隊事先幫忙決定了，」Fletcher 寫道。