C
Security

GitHub startet kostenloses Code Security Risk Assessment

GitHub scannt jetzt kostenlos bis zu 20 Repositories auf Schwachstellen. Das neue Code Security Risk Assessment senkt die Einstiegshürde für Security – und treibt zugleich die Adoption von Copilot Autofix voran.

CR
Codekiste Redaktion14. April 2026
#Security#Vulnerability#GitHub#Copilot#CodeQL

Die unangenehme Wahrheit in der Softwareentwicklung lautet: Der Großteil des geschriebenen Codes wird niemals einer gründlichen Sicherheitsprüfung unterzogen. Schwachstellen sammeln sich unbemerkt in aktiven Repositories an, über verschiedene Sprachen und Teams hinweg. Wer sich auf manuelle Reviews oder stark eingegrenzte Tools verlässt, hat oft blinde Flecken – bis es zu spät ist. Genau hier setzt GitHub mit einem neuen Angebot an: dem Code Security Risk Assessment.

One-Click-Sicherheit ohne Einstiegshürde

GitHub introduces mit dem Code Security Risk Assessment einen kostenlosen Scan-Service, der Organisationen einen sofortigen Überblick über ihre Sicherheitslage verschaffen soll. Das Angebot richtet sich an Admins und Security-Manager auf GitHub Enterprise Cloud und GitHub Team. Das wichtigste Verkaufsargument: Es ist komplett kostenlos, erfordert keine Lizenz, keine Konfiguration und keine langfristige Bindung. Auch die anfallenden GitHub Actions-Minuten für den Scan-Vorgang werden nicht vom eigenen Kontingent abgezogen.

Der Scan untersucht bis zu 20 der aktivsten Repositories einer Organisation mithilfe von CodeQL, der hauseigenen Static-Analysis-Engine. Das resultierende Dashboard liefert auf einen Blick mehrere Erkenntnisse:

  • Gesamtzahl der Schwachstellen, kategorisiert nach Schweregrad (Critical, High, Medium, Low)
  • Schwachstellen nach Programmiersprache, um Risikocluster im Codebase zu identifizieren
  • Erkannte Regeln, die aufzeigen, welche Art von Sicherheitsproblemen vorliegen und wie viele Repositories davon betroffen sind
  • Die anfälligsten Repositories, um Prioritäten bei der Behebung zu setzen
  • Copilot Autofix Eligibility: Ein durchaus strategischer Punkt, der anzeigt, wie viele der gefundenen Schwachstellen durch KI automatisch behoben werden könnten

Die strategische Einordnung: Freemium als Türöffner

Aus journalistischer Sicht ist dieses Vorgehen von GitHub ein klassischer, aber cleverer Freemium-Ansatz. Security ist oft ein harter Sell – Budgets sind knapp, und der Nutzen von Prävention lässt sich schwer in ROI messen, bis ein Vorfall passiert. Indem GitHub die Hürde für den initialen Scan auf null senkt (kein Cost, no config), generiert das Unternehmen Aufmerksamkeit und schafft ein unmittelbares Problembewusstsein („Shock and Awe“). Wer die Ergebnisse sieht, wird höchstwahrscheinlich handlungswillig – und genau dann verweist GitHub auf seine kostenpflichtigen Produkte.

Das Assessment ergänzt das bereits existierende Secret Risk Assessment, das im vergangenen Jahr tausenden Organisationen geholfen hat, geleakte Credentials aufzuspüren. GitHub vermeldet für 2025 allein stolze 19 Millionen blockierte Secret-Exposures bei fast 2 Milliarden gescannten Pushes. Beide Assessments sind nun über eine einzige Oberfläche mit Tab-Navigation verfügbar. Das schafft eine einheitliche Ansicht der organisatorischen Security-Posture – von geleakten Passwörtern bis hin zu Code-Lücken.

Vom Finden zum Fixen: Der Copilot-Fokus

Einen Schwachpunkt zu finden, ist nur der erste Schritt. Die eigentliche Herausforderung liegt in der Behebung, und hier positioniert GitHub sein aktuelles Vorzeigeprodukt: Copilot Autofix. Die Zahlen, die GitHub vorlegt, sind beeindruckend:

  • Über 460.000 Security-Alerts wurden 2025 mithilfe von Copilot Autofix behoben.
  • 50 % der Schwachstellen-Meldungen wurden direkt in Pull Requests gelöst – genau dort, wo Entwickler ohnehin arbeiten.
  • Die durchschnittliche Zeit bis zur Behebung (Mean Time to Remediation, MTTR) lag mit Copilot Autofix bei 0,66 Stunden, verglichen mit 1,29 Stunden bei manueller Fehlerbehebung.

Das Code Security Risk Assessment zeigt explizit an, wie viele der gefundenen Probleme für Autofix infrage kommen. Das ist ein nahtloser Übergang von der Diagnose zur Therapie. Kritisch betrachtet muss man jedoch anmerken: KI-gestützte Fixes eignen sich primär für schematische Schwachstellen wie einfache Injection-Lücken oder fehlerhafte Auth-Checks. Komplexe, architektonische Designfehler wird auch Copilot Autofix nicht zuverlässig ausmerzen können. Die Gefahr besteht, dass Organisationen sich auf die KI verlassen und die tiefergehende, manuelle Code-Review-Kultur vernachlässigen.

Fazit: Ein No-Brainer für den Status Quo

Egal, ob eine Organisation noch gar keine Security-Scans einsetzt, ihre aktuellen Tools evaluiert oder einfach einen breiteren Überblick über ihre Risiken gewinnen möchte – das Code Security Risk Assessment ist ein Angebot mit minimaler Reibung und maximalem Erkenntnisgewinn. Es dauert nur Minuten, kostet nichts und liefert harte Daten.

Jeder Org-Admin auf GitHub sollte diesen Scan durchführen. Man muss sich lediglich darüber im Klaren sein, dass es sich um eine Momentaufnahme und ein Einstiegsangebot handelt. Wer kontinuierliche Sicherheit in der CI/CD-Pipeline benötigt, wird um die Aktivierung der vollen GitHub Code Security-Funktionen – und damit um Kosten – nicht herumkommen. Es ist ein kluger Schachzug von GitHub: Man zeigt den Leuten kostenlos, dass es brennt, und verkauft ihnen dann den Feuerlöscher.

Quelle: GitHub Blog

QUELLEN
GitHub Blog
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

Cisco stopft kritische Lücken in ISE und Webex: RCE und Identitätsdiebstahl drohen

Security

IT-Forensik als Druckmittel: Wenn Ausländerbehörden Handys ausspionieren

Security

KI-Phishing und Datenklau: UAC-0247 greift ukrainische Kliniken an