GitHub กำลังนำการสแกนด้วย AI มาใช้กับเครื่องมือ Code Security เพื่อขยายขอบเขตการตรวจจับช่องโหว่ให้ครอบคลุมมากกว่าเดิม นอกเหนือจากการวิเคราะห์แบบ Static Analysis ของ CodeQL เพื่อให้รองรับภาษา และ Frameworks ที่หลากหลายมากขึ้น
GitHub ระบุว่า การเปลี่ยนแปลงนี้มีจุดมุ่งหมายเพื่อค้นหาปัญหาด้านความปลอดภัยในส่วนที่ยากจะจัดการด้วยการวิเคราะห์แบบ Static เพียงอย่างเดียว
CodeQL จะยังคงทำหน้าที่วิเคราะห์แบบ deep semantic analysis อย่างละเอียดสำหรับภาษาที่รองรับ ในขณะที่การตรวจจับด้วย AI จะให้การครอบคลุมที่กว้างขึ้นสำหรับ Shell/Bash, Dockerfiles, Terraform, PHP และระบบอื่น ๆ
Hybrid model รูปแบบใหม่นี้คาดว่าจะเข้าสู่ช่วงทดสอบในช่วงต้นไตรมาสที่ 2 ของปี 2026 หรืออาจเร็วที่สุดภายในเดือนหน้า
การค้นหา bugs ก่อนที่จะเกิดขึ้น
GitHub Code Security คือชุดเครื่องมือความปลอดภัยของแอปพลิเคชันที่รวบรวมไว้ใน Repository และ Workflows ของ GitHub โดยตรง
สามารถใช้งานฟรี (แบบจำกัดฟีเจอร์) สำหรับ Public Repository ทั้งหมด อย่างไรก็ตาม ผู้ใช้ที่ชำระเงินสามารถเข้าถึงฟีเจอร์เต็มรูปแบบสำหรับ Private Repository/Internal Repository ผ่านชุดเครื่องมือเสริม GitHub Advanced Security (GHAS)
เครื่องมือนี้มีฟังก์ชัน Code Scanning เพื่อหาช่องโหว่ที่รู้จัก, Dependency Scanning เพื่อระบุหา open-source libraries ที่มีช่องโหว่, Secrets Scanning เพื่อค้นหาข้อมูล Credentials ที่รั่วไหลออกสู่สาธารณะ และให้การแจ้งเตือนด้านความปลอดภัยพร้อมคำแนะนำในการแก้ไขปัญหาโดยใช้ Copilot
เครื่องมือความปลอดภัยเหล่านี้ทำงานในระดับ Pull Request โดยแพลตฟอร์มจะเลือกเครื่องมือที่เหมาะสม (CodeQL หรือ AI) สำหรับแต่ละกรณี เพื่อให้ตรวจพบปัญหาก่อนที่จะทำการ Merge โค้ดที่อาจมีอันตราย
หากตรวจพบปัญหา เช่น การเข้ารหัสที่ไม่ปลอดภัย, การตั้งค่าผิดพลาด หรือ SQL ที่ไม่ปลอดภัย ปัญหาเหล่านั้นจะแสดงขึ้นโดยตรงใน pull request
จากการทดสอบภายในของ GitHub พบว่า ระบบประมวลผลข้อมูลไปมากกว่า 170,000 รายการ ภายใน 30 วัน ส่งผลให้ได้รับการตอบรับเชิงบวกจากนักพัฒนา 80% และบ่งชี้ว่าปัญหาที่ถูกแจ้งนั้นถูกต้อง
ผลลัพธ์แสดงให้เห็นถึงการครอบคลุมในระบบนิเวศเป้าหมายที่ก่อนหน้านี้ยังไม่ได้รับการตรวจสอบอย่างทั่วถึงเพียงพอ
GitHub ยังเน้นย้ำถึงความสำคัญของ Copilot Autofix ซึ่งช่วยเสนอแนวทางแก้ไขปัญหาต่าง ๆ ที่ตรวจพบผ่าน GitHub Code Security
สถิติจากปี 2025 ที่รวบรวมจากการจัดการแจ้งเตือนด้านความปลอดภัยกว่า 460,000 รายการผ่าน Autofix แสดงให้เห็นว่าการแก้ไขปัญหาใช้เวลาเฉลี่ย 0.66 ชั่วโมง เทียบกับ 1.29 ชั่วโมงเมื่อไม่ได้ใช้ Autofix
การที่ GitHub นำระบบตรวจจับช่องโหว่ที่ขับเคลื่อนด้วย AI มาใช้ ถือเป็นการเปลี่ยนแปลงในวงกว้างที่ระบบรักษาความปลอดภัยกำลังได้รับการเสริมด้วย AI และฝังตัวอยู่ภายในกระบวนการพัฒนาซอฟต์แวร์เอง
ที่มา : bleepingcomputer
You must be logged in to post a comment.