GitHub Copilot Artık Commit Öncesi Güvenlik Açıklarını Yakalıyor
GitHub Copilot'un yeni slash komutu, commit öncesi kodu tarayarak injection, XSS ve zayıf kriptografi gibi OWASP açıklarını erken yakalıyor.
GitHub, Copilot masaüstü uygulamasına eklediği yeni bir slash komutuyla, henüz commit edilmemiş kod değişikliklerini LLM tabanlı bir tarayıcıdan geçiriyor. Özellik; injection, XSS, zayıf kriptografi, path traversal ve güvensiz veri işleme gibi beş OWASP kategorisini kapsıyor ve Free tier dahil tüm abonelik seviyelerinde ek kurulum gerektirmeden çalışıyor.
Bu adım, Veracode'un 2025 raporunda AI tarafından üretilen kodun yüzde 45'inin en az bir OWASP açığı içerdiğinin ortaya çıkmasının hemen ardından geldi. GitHub hem en büyük AI kod üreticisi hem de bu riski erken yakalayan aracı sunan taraf olarak öne çıkıyor. Kontrol, geliştiricinin makinesinde ve düzenleme sırasında çalıştığı için CodeQL ve Dependabot gibi repo genelinde ve CI'da çalışan araçların önündeki hızlı bir filtre görevi görüyor.
Araç mimari hatalar, eksik yetkilendirme kontrolleri, platformlar arası UI tutarsızlıkları veya halüsinasyonla üretilmiş bileşen API'leri gibi sorunları tespit etmiyor. Şu an için native bir pre-commit hook entegrasyonu da yok; komut yalnızca editör içi bir kontrol olarak çalışıyor, CI kapısı olarak kullanılamıyor.