GitHub 結合資安與開發者 攜手修復程式碼漏洞
兼職收入

GitHub 正在將開發者與資安專家連結起來,以減少工作流程中現有程式碼中潛藏的漏洞數量。
這個廣受歡迎、隸屬於微軟的程式碼儲存平台,本週表示,其在 2024 年 10 月公開預覽的「資安活動(security campaigns)」現已正式提供給 GitHub Advanced Security 與 GitHub Code Security 的開發者使用。
這項由 AI 驅動的工具,是 GitHub 協助開發者解決在高速 CI/CD 開發流程中累積的資安問題(也就是所謂的「資安債務」)的最新一步。GitHub 在 2023 年將 Copilot Autofix 整合進拉取請求(pull requests),據該公司表示,這讓開發團隊能夠以比人工方式快 60% 的速度解決漏洞與其他資安問題,顯著降低了「關鍵平均修復時間(MTTR)」。
「Autofix 可在漏洞進入正式環境之前就偵測並修復它們,讓你能花更少時間修 bug,更多時間專注寫程式,」GitHub 專案經理 James Fletcher 在部落格文章中寫道。「但那些已經潛伏在既有程式碼中的漏洞怎麼辦呢?每一個未解決的資安問題都會累積成資安債務——這是一種你無法忽視的風險。」
Fletcher 指出,開發團隊通常只處理約 10% 的程式碼資安問題,留下高達 90% 處於未解決狀態。
漏洞的問題
雲端資安公司 Wiz 在《2025 程式碼安全現況報告》中發現,儘管程式碼漏洞依然是重大的資安風險,許多公司並未妥善保護其 CI/CD 管線或儲存庫。這家公司——目前正被 Google 以 320 億美元收購——指出,80% 的 GitHub 工作流程具有不安全的權限設定,這可能讓惡意行為者有機可乘,進行未授權的修改。
這正是 GitHub 資安活動發揮作用的地方。
「資安活動彌補了這個缺口,透過將資安專家與開發者連結在一起,讓漏洞修復流程可以直接在你的工作流程中進行,並具備可擴展性,」Fletcher 寫道。
AI 是核心
資安活動仰賴 GitHub Copilot Autofix 為最多 1,000 個由程式碼掃描所產生的警示提供程式碼建議。資安團隊可以利用這些建議進行警示的分類與優先排序,而開發者則可以根據這些資訊,透過 Autofix 處理問題。由於這些建議直接在 GitHub 中提供給開發者,因此可以如同其他功能一樣,自然地納入開發流程中。
資安活動中也包含通知機制,提醒開發者其個人或其團隊需負責處理哪些警示,並指定一名經理來監督整個流程。
此外,開發者還能選擇一組相關性高的警示群組,讓他們能夠藉由解決一項問題的經驗,快速修復其他相似問題。開發者也能透過 REST API 更輕鬆地在大規模情境下與資安活動互動。
解決關鍵需求
Fletcher 表示,這是在程式開發中不可或缺的一環。
「針對現有程式碼中已存在的資安問題進行分類與優先排序,必須成為正常軟體開發生命週期的一部分,」他寫道。「但不幸的是,當產品團隊面臨趕工壓力時,往往無暇仔細檢查所有資安警示,以決定優先處理哪些問題。所幸,在多數軟體開發組織中,早已有一群專精於這類風險評估的成員:資安團隊。」
GitHub 發現,早期參與資安活動的企業中,有 55% 的警示被成功修復,而在未參與此流程的情況下,修復率僅為 10%。
「這顯示出,當警示被納入資安活動後,開發團隊能有更多時間處理資安債務,因為優先順序已經由資安團隊事先幫忙決定了,」Fletcher 寫道。