**GitHub** setzt auf KI-gestütztes Scannen für sein Code-Security-Tool, um die Erkennung von Schwachstellen über die statische Analyse **CodeQL** hinaus zu erweitern und mehr Sprachen und Frameworks abzudecken. Die Entwickler-Kollaborationsplattform gibt an, dass der Schritt dazu dient, Sicherheitsprobleme "in Bereichen aufzudecken, die mit traditioneller statischer Analyse allein schwer zu unterstützen sind". **CodeQL** wird weiterhin eine tiefe semantische Analyse für unterstützte Sprachen bieten, während KI-Erkennungen eine breitere Abdeckung für Shell/Bash, Dockerfiles, Terraform, PHP und andere Ökosysteme bieten. Das neue Hybridmodell wird voraussichtlich im frühen Q2 2026 in die öffentliche Vorschau gehen, möglicherweise bereits im nächsten Monat. ### Fehler finden, bevor sie zuschlagen **GitHub** Code Security ist ein [Set von Anwendungssicherheitstools](https://github.com/security/advanced-security/code-security), das direkt in **GitHub**-Repositories und Workflows integriert ist. Es ist kostenlos (mit Einschränkungen) für alle öffentlichen Repositories verfügbar. Zahlende Benutzer können jedoch [auf den vollständigen Funktionsumfang](https://github.com/security/plans) für private/interne Repositories als Teil der **GitHub** Advanced Security (**GHAS**) Add-on-Suite zugreifen. Es bietet Code-Scanning für bekannte Schwachstellen, Dependency-Scanning zur Identifizierung anfälliger Open-Source-Bibliotheken, Secrets-Scanning zur Aufdeckung kompromittierter Anmeldeinformationen in öffentlichen Assets und liefert Sicherheitswarnungen mit von Copilot generierten Vorschlägen zur Behebung. Die Sicherheitstools arbeiten auf Pull-Request-Ebene, wobei die Plattform das entsprechende Tool (**CodeQL** oder KI) für jeden Fall auswählt, sodass alle Probleme vor dem Mergen des potenziell problematischen Codes erkannt werden. Wenn Probleme wie schwache Kryptografie, Fehlkonfigurationen oder unsichere SQL erkannt werden, werden diese direkt im Pull Request angezeigt. **GitHubs** interne Tests zeigten, dass das System über 30 Tage hinweg über 170.000 Funde verarbeitete, was zu 80 % positivem Entwicklerfeedback führte und darauf hindeutete, dass die markierten Probleme gültig waren. Diese [Ergebnisse zeigten eine "starke Abdeckung"](https://github.blog/security/application-security/github-expands-application-security-coverage-with-ai-powered-detections/) der Zielökosysteme, die zuvor nicht ausreichend geprüft worden waren. **GitHub** hebt auch die Bedeutung von Copilot Autofix hervor, das Lösungen für die durch **GitHub** Code Security erkannten Probleme vorschlägt. Statistiken aus dem Jahr 2025, die über 460.000 von Autofix bearbeitete Sicherheitswarnungen umfassen, zeigen, dass die Behebung im Durchschnitt 0,66 Stunden dauerte, verglichen mit 1,29 Stunden, wenn Autofix nicht verwendet wurde. **GitHubs** Einführung von KI-gestützter Schwachstellenerkennung markiert einen breiteren Wandel, bei dem Sicherheit KI-gestützt und auch nativ in den Entwicklungsworkflow selbst integriert wird. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Warum Ransomware-Verschlüsselung um 38 % zurückging</a></h2> <p>Malware wird intelligenter. Der Red Report 2026 enthüllt, wie neue Bedrohungen Mathematik nutzen, um Sandboxes zu erkennen und sich im Verborgenen zu halten.</p> <p>Laden Sie unsere Analyse von 1,1 Millionen bösartigen Samples herunter, um die Top 10 Techniken aufzudecken und zu sehen, ob Ihr Security Stack blind ist.</p> </div> </div>