Обычно проверка безопасности — это CI-пайплайн, pull request и ожидание. Теперь в GitHub Copilot CLI появилась экспериментальная команда /security-review: она анализирует локальные изменения кода прямо в терминале и выдаёт список уязвимостей с оценкой серьёзности — до того, как код вообще ушёл в репозиторий.
/security-review сканирует локальный diff и ищет распространённые классы уязвимостей:
- SQL-инъекции и XSS — уязвимости внедрения и межсайтовый скриптинг.
- Обход пути — некорректная обработка файловых путей.
- Небезопасная обработка данных — слабая криптография и смежные проблемы.
Каждая находка получает оценку по серьёзности и достоверности. Исправления предлагаются прямо в терминале — переключаться в браузер или IDE не нужно.
Команда не заменяет GitHub Code Scanning, Dependabot и Secret Scanning, а добавляет новый слой до них: разработчик получает фидбэк ещё на этапе локальной работы, до push. Статус — публичная предварительная версия, функция помечена как экспериментальная.
Сдвиг security-проверки в терминал до коммита — логичный шаг. Но Microsoft не раскрыла, какая модель стоит за /security-review, каков реальный процент ложных срабатываний и как команда ведёт себя на больших диффах. Без этих данных сложно оценить, насколько результатам можно доверять в реальных продакшн-процессах.