**GitHub** adopte l'analyse basée sur l'IA pour son outil Code Security afin d'étendre la détection de vulnérabilités au-delà de l'analyse statique **CodeQL** et de couvrir davantage de langages et de frameworks. La plateforme de collaboration pour développeurs indique que cette initiative vise à découvrir des problèmes de sécurité "dans des domaines difficiles à prendre en charge par l'analyse statique traditionnelle seule". **CodeQL** continuera de fournir une analyse sémantique approfondie pour les langages pris en charge, tandis que les détections basées sur l'IA offriront une couverture plus large pour Shell/Bash, Dockerfiles, Terraform, PHP et d'autres écosystèmes. Ce nouveau modèle hybride devrait entrer en préversion publique début du T2 2026, potentiellement dès le mois prochain. ### Détecter les bugs avant qu'ils ne causent des problèmes **GitHub** Code Security est un [ensemble d'outils de sécurité applicative](https://github.com/security/advanced-security/code-security) intégrés directement dans les dépôts et les workflows **GitHub**. Il est disponible gratuitement (avec des limitations) pour tous les dépôts publics. Cependant, les utilisateurs payants peuvent accéder à l'[ensemble complet des fonctionnalités](https://github.com/security/plans) pour les dépôts privés/internes dans le cadre de la suite d'extensions **GitHub** Advanced Security (**GHAS**). Il offre le scan de code pour les vulnérabilités connues, le scan de dépendances pour identifier les bibliothèques open-source vulnérables, le scan de secrets pour découvrir les identifiants divulgués sur les actifs publics, et fournit des alertes de sécurité avec des suggestions de remédiation basées sur Copilot. Les outils de sécurité fonctionnent au niveau des pull requests, la plateforme sélectionnant l'outil approprié (**CodeQL** ou IA) pour chaque cas, de sorte que tout problème soit détecté avant la fusion du code potentiellement problématique. Si des problèmes tels qu'une cryptographie faible, des mauvaises configurations ou des requêtes SQL non sécurisées sont détectés, ils sont présentés directement dans la pull request. Les tests internes de **GitHub** ont montré que le système a traité plus de 170 000 découvertes sur 30 jours, entraînant un retour positif des développeurs à 80 %, indiquant que les problèmes signalés étaient valides. Ces [résultats ont montré une "forte couverture"](https://github.blog/security/application-security/github-expands-application-security-coverage-with-ai-powered-detections/) des écosystèmes cibles qui n'avaient pas été suffisamment examinés auparavant. **GitHub** souligne également l'importance de Copilot Autofix, qui suggère des solutions aux problèmes détectés par **GitHub** Code Security. Les statistiques de 2025, portant sur plus de 460 000 alertes de sécurité traitées par Autofix, montrent que la résolution a été atteinte en moyenne en 0,66 heure, contre 1,29 heure lorsque Autofix n'était pas utilisé. L'adoption par **GitHub** de la détection de vulnérabilités basée sur l'IA marque une évolution plus large où la sécurité devient augmentée par l'IA et nativement intégrée dans le workflow de développement lui-même. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026 : Pourquoi le chiffrement des ransomwares a chuté de 38 %</a></h2> <p>Les malwares deviennent plus intelligents. Le Red Report 2026 révèle comment les nouvelles menaces utilisent les mathématiques pour détecter les sandboxes et se cacher à la vue de tous.</p> <p>Téléchargez notre analyse de 1,1 million d'échantillons malveillants pour découvrir les 10 principales techniques et voir si votre pile de sécurité est aveugle.</p> </div> </div>