CodeQL

GitHub intègre la détection de vulnérabilités par IA dans son outil Code Security Source : BleepingComputer — Date : 25 mars 2026 🧩 Contexte GitHub annonce l’intégration d’un moteur de détection de vulnérabilités basé sur l’IA dans son outil GitHub Code Security, en complément de l’analyse statique CodeQL existante. L’objectif est d’étendre la couverture à des langages et frameworks jusqu’ici insuffisamment pris en charge par l’analyse statique traditionnelle. 🔍 Détails techniques Le nouveau modèle hybride combine deux approches complémentaires : ...

Dans un billet de blog daté du 10 décembre 2025, Simcha Kosman décrit une méthode qui combine analyse statique CodeQL et raisonnement LLM afin de réduire drastiquement les faux positifs et de concentrer les équipes sur des failles réellement exploitables. L’auteur introduit l’outil Vulnhalla, conçu pour laisser passer uniquement les « vrais » problèmes. En moins de 48 h et pour moins de 80 $, l’approche a permis d’identifier des vulnérabilités publiées sous les identifiants CVE-2025-38676 (Linux Kernel), CVE-2025-0518 (FFmpeg), CVE-2025-27151 (Redis), CVE-2025-8854 (Bullet3), CVE-2025-9136 (RetroArch), CVE-2025-9809 (Libretro) et CVE-2025-9810 (Linenoise), avec divulgation responsable préalable aux éditeurs. ...