Microsoft і GitHub об’єднали свої інструменти пошуку багів

Microsoft та її дочірня компанія GitHub оголосили про інтеграцію інструментів Microsoft Defender for Cloud та GitHub Advanced Security. Метою цього рішення, анонсованого в Сан-Франциско на конференції Microsoft Ignite 2025, є вирішення проблеми накопичення боргу безпеки в базах коду. Про це повідомляє The New Stack.

Відтепер єдиний інструмент підключає аналіз часу виконання коду з виробничих середовищ у робочі процеси розробників. Це допоможе організаціям краще визначати пріоритети, які вразливості справді важливі, та використовувати штучний інтелект для їхнього швидшого виправлення.

Згідно з галузевими даними, критичні та серйозні вразливості становлять 17,4% від загального числа проблем безпеки, із середнім часом виправлення 116 днів. За даними Microsoft, програми стикаються з атаками приблизно раз на три хвилини.

«Інтеграція Microsoft Defender for Cloud та GitHub Advanced Security являє собою перший нативний зв’язок між аналізом виконання та робочими процесами розробників», – повідомила Еліф Альгедік, директор з маркетингу продуктів для хмарних технологій Microsoft .

Вона зазначила, що зростання обсягу коду розрив між розробкою та безпекою збільшується. Rоманди безпеки завалені оповіщеннями і іноді не можуть відрізнити реальні проблеми коду від теоретичних. Розробники, в свою чергу, не мають чітких сигналів про пріоритети, і часто вони витрачають час на виправлення багів, які можуть не експлуатуватися у виробничому середовищі.

Нова інтеграція працює в обох напрямках. Коли Defender for Cloud виявляє вразливість у робочому навантаженні, контекст виконання переноситься в GitHub, показуючи розробникам, чи має вразливість зв’язок з інтернетом, чи обробляються конфіденційні дані або ж вона дійсно розкрита в робочому середовищі. Це працює на основі так званого віртуального реєстру, який порівнює код та середовище виконання.