Mit der Erweiterung verfolgt GitHub einen hybriden Ansatz: Für jede Prüfung wählt die Plattform automatisch das passende Werkzeug – entweder die statische Analyse per CodeQL oder die neue KI-Erkennung. CodeQL liefert weiterhin die tiefe semantische Analyse für die unterstützten Sprachen, während die KI-Komponente jene Ökosysteme abdeckt, die sich mit klassischer statischer Analyse nur schwer erfassen lassen, darunter Shell/Bash, Dockerfiles, Terraform und PHP.

GitHub Code Security fasst mehrere Sicherheitswerkzeuge zusammen, die direkt in Repositories und Arbeitsabläufe eingebettet sind. Dazu zählen das Scannen von Code auf bekannte Schwachstellen, die Prüfung von Abhängigkeiten auf verwundbare Open-Source-Bibliotheken sowie das Aufspüren versehentlich offengelegter Zugangsdaten. Ergänzt wird dies durch Sicherheitswarnungen mit Korrekturvorschlägen, die von Copilot stammen.

Die Prüfungen setzen auf Ebene der Pull Requests an. Werden Probleme erkannt – etwa schwache Kryptografie, Fehlkonfigurationen oder unsichere SQL-Abfragen –, erscheinen diese unmittelbar im jeweiligen Pull Request, bevor der Code zusammengeführt wird.

Nach eigenen internen Tests verarbeitete das System innerhalb von 30 Tagen über 170.000 Befunde. Davon fiel die Rückmeldung der Entwickler zu 80 Prozent positiv aus, was laut GitHub darauf hindeutet, dass die markierten Probleme tatsächlich zutrafen. Die Ergebnisse zeigten nach Darstellung des Unternehmens eine gute Abdeckung der anvisierten Ökosysteme, die zuvor nicht ausreichend geprüft worden seien.

GitHub verweist zudem auf die Bedeutung von Copilot Autofix, das Lösungen für die über Code Security gefundenen Probleme vorschlägt. Auswertungen aus dem Jahr 2025 mit über 460.000 von Autofix bearbeiteten Sicherheitswarnungen zeigen, dass eine Behebung im Schnitt nach 0,66 Stunden erreicht wurde – gegenüber 1,29 Stunden ohne den Einsatz von Autofix.

Das neue hybride Modell soll Anfang des zweiten Quartals 2026 in eine öffentliche Vorschau gehen, möglicherweise bereits im kommenden Monat. Mit der Einführung der KI-gestützten Schwachstellenerkennung verschiebt sich nach Einschätzung von GitHub die Sicherheit hin zu einem KI-gestützten Modell, das zugleich fest in den Entwicklungsprozess selbst eingebettet ist.