En el cambiante escenario del desarrollo de software, Github ha dado un paso significativo al anunciar nuevas funciones de seguridad para su plataforma GitHub Code Security. Estas funciones, impulsadas por inteligencia artificial, permitirán ampliar la seguridad de las aplicaciones en múltiples lenguajes y frameworks, abordando áreas que tradicionalmente no se cubrían con análisis estáticos convencionales. La compañía planea lanzar públicamente esta innovación a principios del segundo trimestre de 2024.
Aunque el análisis estático sigue siendo útil para detectar vulnerabilidades en ciertos lenguajes, Github reconoce que los repositorios modernos a menudo integran componentes y scripts provenientes de diversos ecosistemas. Para abordar esta complejidad, GitHub Code Security ha combinado su tecnología de análisis CodeQL con nuevas detecciones de seguridad basadas en IA. Este enfoque híbrido promete identificar vulnerabilidades y proponer correcciones en el flujo de trabajo de las solicitudes de extracción, facilitando el trabajo de los desarrolladores.
Durante las pruebas internas, el sistema procesó más de 170,000 hallazgos en solo 30 días, recibiendo más del 80% de comentarios positivos. Los resultados preliminares muestran una cobertura robusta en ecosistemas ahora respaldados por las detecciones de IA, como Shell/Bash, archivos Docker, configuraciones de Terraform y PHP.
La estrategia de integración de estas detecciones en las solicitudes de extracción permite a los desarrolladores identificar y mitigar riesgos de seguridad en una etapa temprana. Al abrir una solicitud de extracción, GitHub Code Security analiza automáticamente los cambios con el método de detección más adecuado. Esto resalta riesgos como consultas SQL inseguras o configuraciones de infraestructura vulnerables, con resultados visibles a la par de otros hallazgos de escaneo de código.
Para facilitar una reparación rápida y efectiva de vulnerabilidades, GitHub ha añadido Copilot Autofix, una herramienta que sugiere correcciones que los desarrolladores pueden revisar y aplicar. Según datos recientes, Autofix ha solucionado más de 460,000 alertas de seguridad en 2025, reduciendo el tiempo medio de resolución de 1.29 horas a 0.66 horas.
Con estas mejoras, GitHub refuerza su papel en el flujo de trabajo de desarrollo, permitiendo a los equipos de seguridad aplicar medidas preventivas en el punto de aprobación del código, antes del despliegue. Durante la RSA Conference, la compañía demostrará cómo las detecciones impulsadas por IA pueden mejorar la cobertura de seguridad directamente en las solicitudes de extracción, en línea con su visión de un análisis estático potenciado por IA.