GitHub mở rộng khả năng phát hiện bảo mật ứng dụng bằng Trí tuệ nhân tạo (AI)

Mô tả minh họa GitHub Code Security

Trí tuệ nhân tạo đang ngày càng thúc đẩy sự phát triển phần mềm, mở rộng phạm vi các ngôn ngữ lập trình và khung công tác được sử dụng trong các kho lưu trữ hiện đại. Do đó, đội ngũ bảo mật ngày càng chịu trách nhiệm bảo vệ mã nguồn được viết trên nhiều hệ sinh thái khác nhau, chứ không chỉ giới hạn ở các ngôn ngữ doanh nghiệp truyền thống được bao phủ bởi phân tích tĩnh.

Để giải quyết thực tế này, GitHub đã giới thiệu các tính năng phát hiện bảo mật được hỗ trợ bởi AI trong GitHub Code Security. Mục tiêu là mở rộng khả năng bảo mật ứng dụng sang nhiều ngôn ngữ và khung công tác mới. Các tính năng này bổ sung cho CodeQL bằng cách trích xuất các lỗ hổng tiềm ẩn trong các lĩnh vực khó khăn mà phân tích tĩnh truyền thống khó đáp ứng một mình.

Mô hình phát hiện lai: Tĩnh và AI

Phân tích tĩnh vẫn là một cách hiệu quả để nhận diện lỗ hổng trong các ngôn ngữ được hỗ trợ, đó là lý do GitHub Code Security vẫn dựa vào CodeQL cho phân tích ngữ nghĩa sâu. Tuy nhiên, các cơ sở mã nguồn hiện đại thường bao gồm các kịch bản, định nghĩa hạ tầng và thành phần ứng dụng được xây dựng trên nhiều hệ sinh thái bổ sung.

Để đáp ứng thực tế này, GitHub Code Security mở rộng phạm vi bằng cách kết hợp CodeQL với các phát hiện bảo mật được hỗ trợ bởi AI trên nhiều ngôn ngữ và khung công tác bổ sung. Mô hình phát hiện lai này giúp phát hiện các lỗ hổng—cũng như các đề xuất sửa lỗi—trực tiếp cho các lập trình viên trong luồng công việc Pull Request.

Trong các bài kiểm tra nội bộ, hệ thống đã xử lý hơn 170.000 trường hợp phát hiện trong 30 ngày, với hơn 80% phản hồi tích cực từ lập trình viên. Kết quả ban đầu cho thấy khả năng bao phủ mạnh mẽ cho các hệ sinh thái mới được hỗ trợ thông qua phát hiện AI, bao gồm Shell/Bash, Dockerfiles, cấu hình Terraform (HCL) và PHP.

Tích hợp bảo mật vào Pull Request

Pull Request là nơi lập trình viên hiện nay thực hiện việc duyệt và phê duyệt các thay đổi, làm cho đây là vị trí hiệu quả nhất để phát hiện rủi ro sớm. Khi một Pull Request được mở, GitHub Code Security tự động phân tích các thay đổi bằng cách sử dụng phương pháp phát hiện phù hợp nhất, dù là phân tích tĩnh dựa trên CodeQL hay phát hiện bảo mật được hỗ trợ bởi AI.

Kết quả sẽ xuất hiện trực tiếp trong Pull Request cùng với các phát hiện quét mã khác, làm nổi bật các rủi ro như các truy vấn SQL được xây dựng bằng chuỗi không an toàn, các thuật toán mật mã không an toàn hoặc các cấu hình hạ tầng phơi bày tài nguyên nhạy cảm.

Sửa lỗi nhanh chóng với Copilot Autofix

Việc nhận diện lỗ hổng sớm chỉ là một phần của bài toán. Các đội ngũ bảo mật cũng phải đảm bảo rằng các vấn đề này được khắc phục nhanh chóng và an toàn.

GitHub Code Security kết nối việc phát hiện với việc khắc phục bằng Copilot Autofix, có thể đề xuất các bản sửa lỗi mà lập trình viên có thể xem xét, kiểm tra và áp dụng như một phần của quy trình duyệt mã chuẩn.

Các lập trình viên đã sử dụng Autofix ở quy mô lớn. Năm 2025, tính năng này đã sửa hơn 460.000 cảnh báo bảo mật, đạt được việc giải quyết trong trung bình 0,66 giờ so với 1,29 giờ nếu không có Autofix.

Kiểm soát kết quả bảo mật tại điểm hợp nhất

Vì GitHub nằm tại điểm hợp nhất của luồng làm việc phát triển, các đội ngũ bảo mật có thể kiểm soát kết quả bảo mật tại nơi mã nguồn được duyệt và phê duyệt, chứ không phải sau khi chúng được triển khai. Bằng cách mang phát hiện, khắc phục và kiểm soát chính sách vào Pull Request, GitHub giúp các đội nhóm giảm thiểu rủi ro mà không làm chậm quá trình phát triển.

Tại RSAC, GitHub sẽ preview cách phát hiện bảo mật được hỗ trợ bởi AI mở rộng phạm vi bảo mật ứng dụng trực tiếp trong các Pull Request. Thể hiện cho hướng đi rộng hơn, bắt đầu từ việc mở rộng phạm vi bảo mật ngày nay và tiến tới phân tích tĩnh được nâng cao bởi AI sâu hơn như một phần của nền tảng phát hiện có chủ đích của GitHub.