GitHub veut éliminer les failles avant chaque mise en prod grâce à l'IA

GitHub veut éliminer les failles avant chaque mise en prod grâce à l'IA

170 000 alertes en 30 jours, 80 % validées par les développeurs. GitHub arme ses pull requests d'une détection IA. La cible n'est pas que les bugs.

La plateforme de Microsoft ne se contente plus d'héberger du code. GitHub vient d'annoncer l'intégration de détections de sécurité propulsées par l'IA dans son outil Code Security. Ces détections complètent CodeQL, son moteur d'analyse statique maison. La preview publique est prévue pour début Q2 2026. Le calendrier n'est pas anodin. Il intervient quelques semaines après le lancement de Codex Security par OpenAI et de Claude Code Security par Anthropic.

Un modèle hybride qui cible les angles morts de l'analyse statique

CodeQL excelle dans l'analyse sémantique des langages traditionnels. Mais les bases de code modernes ne se limitent plus au Java ou au Python. Elles incluent des scripts Shell, des Dockerfiles, des configurations Terraform et du PHP. Autant de cibles que l'analyse statique classique peine à couvrir. Le nouveau modèle hybride de GitHub fait cohabiter CodeQL et l'IA. L'IA prend le relais là où les règles statiques s'avèrent insuffisantes. Les résultats apparaissent directement dans la pull request, au même titre que les alertes CodeQL existantes. Le développeur voit les failles avant de fusionner son code.

En test interne, le système a traité plus de 170 000 alertes en 30 jours. Plus de 80 % ont reçu un retour positif des développeurs. GitHub revendique une couverture élargie pour Shell/Bash, Dockerfiles, Terraform (HCL) et PHP. L'outil détecte les requêtes SQL non sécurisées, les algorithmes cryptographiques faibles et les configurations d'infrastructure exposées. Copilot Autofix complète le dispositif en suggérant des correctifs automatiques. En 2025, il a traité plus de 460 000 alertes. Le temps moyen de résolution est passé de 1,29 heure à 0,66 heure.

La vraie bataille : qui sécurisera le code de demain ?

L'annonce de GitHub s'inscrit dans une course à trois. OpenAI a lancé Codex Security début mars. L'outil a analysé 1,2 million de commits en bêta. Il a identifié 792 failles critiques et 10 561 failles de haute sévérité dans des projets comme Chromium, OpenSSL ou PHP. Anthropic a dégainé Claude Code Security quelques semaines plus tôt. L'outil a fait trembler les valeurs boursières de la cybersécurité traditionnelle en découvrant 14 failles de haute sévérité dans Firefox en deux semaines.

GitHub joue une carte différente. Codex Security et Claude Code Security analysent des dépôts entiers après coup. GitHub intègre la détection dans le flux de travail quotidien, au moment précis où le code est proposé. C'est la différence entre un audit ponctuel et un garde-fou permanent. L'outil est gratuit (avec limitations) pour les dépôts publics. Les dépôts privés nécessitent l'abonnement GitHub Advanced Security.

À découvrir

Sécurité open source : les géants de l'IA financent la solution au problème qu'ils ont aggravé.

Reste une question gênante. Un rapport récent de DryRun Security montre que les agents IA de codage introduisent des failles dans 87 % de leurs pull requests. Claude Code, Codex et Gemini créent tous des problèmes de contrôle d'accès. Les mêmes IA qui écrivent le code sont donc aussi celles qui devront le sécuriser.