En un entorno donde la inteligencia artificial (IA) está revolucionando el desarrollo de software, GitHub ha dado a conocer la incorporación de detecciones de seguridad basadas en IA en su plataforma GitHub Code Security. Esta innovación pretende ampliar la seguridad de aplicaciones a través de múltiples lenguajes y frameworks que, hasta ahora, han quedado fuera del análisis estático tradicional. La vista pública de esta característica está planificada para el segundo trimestre de 2024.
Aunque el análisis estático es eficaz para encontrar vulnerabilidades en los lenguajes compatibles, GitHub entiende que los repositorios modernos suelen incluir componentes y scripts de diversos ecosistemas adicionales. Para abordar esta complejidad, GitHub Code Security ha integrado su tecnología CodeQL con nuevas detecciones de seguridad impulsadas por IA. Este enfoque combinado puede descubrir vulnerabilidades y proponer correcciones directamente en las pull requests, facilitando el trabajo de los desarrolladores.
Durante las pruebas internas, el sistema procesó más de 170,000 hallazgos en un mes, obteniendo más del 80% de comentarios positivos de los desarrolladores. Los resultados iniciales muestran una sólida cobertura en ecosistemas como Shell/Bash, archivos Docker, configuraciones de Terraform (HCL) y PHP gracias a las nuevas detecciones basadas en IA.
La integración de estas detecciones ocurre en el contexto de las pull requests, donde los desarrolladores revisan y aprueban cambios, permitiendo identificar riesgos de seguridad tempranamente. GitHub Code Security analiza automáticamente los cambios al abrir una pull request, utilizando el mejor método ya sea análisis estático o detecciones de IA. Los resultados se muestran junto a otros hallazgos, destacando riesgos como consultas SQL inseguras o configuraciones de infraestructura que podrían exponer recursos sensibles.
Para garantizar que las vulnerabilidades se reparen rápidamente, GitHub ha introducido la función Copilot Autofix, que sugiere correcciones que los desarrolladores pueden revisar, probar y aplicar. Según datos recientes, Autofix ha solucionado más de 460,000 alertas de seguridad en 2025, reduciendo el tiempo de resolución a una media de 0.66 horas en comparación con 1.29 horas sin esta funcionalidad.
Con estas mejoras, GitHub refuerza su papel crítico en el flujo de trabajo de desarrollo, permitiendo que los equipos de seguridad impongan medidas en el punto de aprobación del código, antes de su despliegue. Durante la RSA Conference, GitHub presentará una demostración de cómo estas detecciones de seguridad impulsadas por IA pueden aumentar la cobertura directamente en las pull requests, señalando una tendencia hacia un análisis estático potenciado por IA en su plataforma de detección.
