
بقلم: ليلى | محررة أدوات المطورين · صوت تحريري بإشراف بشري
أعلنت GitHub عن إطلاق ميزة جديدة تدمج الكشف الأمني المدعوم بالذكاء الاصطناعي مباشرةً داخل واجهة Pull Requests، مما يُوسّع تغطية فحص الكود لتشمل لغات وأطر عمل لم تكن CodeQL تدعمها أصلاً. الميزة متاحة الآن في مرحلة Public Preview لمستخدمي GitHub Code Security.
الفكرة في جوهرها بسيطة لكن تأثيرها عملي: كل مطوّر يفتح Pull Request سيرى تنبيهات أمنية مُولَّدة بالذكاء الاصطناعي مباشرةً في نفس الواجهة التي يراجع فيها الكود — دون الخروج إلى أدوات خارجية، ودون انتظار اكتمال جميع مصادر التحليل. التنبيهات الصادرة عن المحرك الذكي مُصنَّفة صراحةً بوسم AI لتمييزها عن نتائج CodeQL التقليدية. هذا التمييز ليس ترفاً؛ هو ضروري لأن المطوّر يحتاج أن يعرف ما هو قاطع وما هو احتمالي.
الميزة تعمل عبر محرك كشف مستقل مرتبط بـ CodeQL دون أن يكون CodeQL هو من يُنفّذ التحليل الذكي. بمعنى آخر، تحتاج إلى تفعيل CodeQL Default Setup في المستودع، لكن التحليل الفعلي يُجريه محرك GitHub الخاص بالذكاء الاصطناعي بشكل متوازٍ. النتائج تظهر تباعاً كما تصدر عن المحرك دون انتظار، وهي ذات طابع إعلامي بحت — أي أنها لن تحجب دمج أي Pull Request، وهو قرار تصميمي ذكي يُجنّب فرق العمل الاحتكاك الزائد في مرحلة المعاينة.
لتفعيل الميزة، ثمة ثلاثة شروط يجب توفّرها معاً:
- السماح بها على مستوى سياسة المؤسسة (Enterprise policy) من قِبل مالك المؤسسة.
- تفعيلها على مستوى المنظمة (Organization level) أو المستودع المحدد.
- تفعيل CodeQL Default Analysis في المستودع المعني — وهو شرط تشغيلي لا تحليلي.
على صعيد التكلفة، تستهلك الميزة خلال مرحلة Public Preview رصيداً من AI Credits المرتبط برخصة GitHub Copilot، ولا يُخصم أي رصيد إلا عند تشغيل عمليات الكشف فعلياً. هذا يعني أن الفرق التي لا ترفع Pull Requests بكثافة لن تُثقَل بتكاليف ثابتة. تفاصيل الفوترة موضّحة في توثيق AI credits.
القيمة الحقيقية هنا تتجلى في تضييق الفجوة بين ما تستطيع CodeQL تحليله وما تتركه دون تغطية. كل قاعدة كود تضمّ لغات أو أطر عمل خارج نطاق دعم CodeQL — سواء كانت لغات scripting نادرة أو أطر حديثة — كانت تُمثّل نقطة عمياء حقيقية. الآن يملأ المحرك الذكي هذا الفراغ مباشرةً في سياق العمل اليومي، وهو ما تعجز عنه أغلب الحلول الأمنية التي تعتمد على فحص منفصل خارج دورة التطوير.
ما يجدر الانتباه إليه هو أن هذه الميزة مقتصرة على عملاء GitHub Advanced Security (GitHub Code Security)، ولا توجد حتى الآن جدول زمني معلن لنقلها إلى خطط أخرى. كذلك فإن الطابع الاحتمالي للكشف الذكي يعني أن الفرق ستحتاج إلى بناء آلية مراجعة لتقييم نتائجه بدلاً من التعامل معها كأحكام قاطعة — وهو ثمن معقول مقابل تغطية أوسع.
يمكن الاطلاع على التوثيق الكامل في صفحة GitHub Code Scanning، ومتابعة النقاشات والملاحظات في منتدى مجتمع GitHub.






