Autofix ve Copilot Autofix (2026)
Autofix and Copilot Autofix (2026)
Bu derste neler öğreneceksin
- Copilot Autofix'in nasıl çalıştığını ve hangi alert tiplerini desteklediğini anlamak
- Otomatik önerme ile otomatik uygulama arasındaki güvenlik farkını kavramak
- Developer iş akışına Autofix'in nasıl entegre edildiğini öğrenmek
- Autofix'in sınırlarını ve güven modelini bilmek
Copilot Autofix nedir?
Copilot Autofix, code scanning alert’ları için Copilot tarafından üretilen düzeltme önerilerini otomatik olarak PR’a ekleyen özelliktir. Ocak 2026’da GA olmuştur.
Code scanning alert oluştu
↓
Copilot analiz eder
↓
Düzeltme önerisi üretir
↓
PR'a yorum olarak eklenir
↓
Geliştirici inceler + Commit et butonuna basar
↓
Düzeltme uygulanır
Desteklenen alert tipleri (2026)
Autofix şu alert tiplerini destekler:
- Code scanning (CodeQL) — JavaScript, TypeScript, Python, Java, Go, Ruby
- Secret scanning — Bazı partner token tipleri için önerilen revoke adımları
- Dependabot — güvenlik güncelleme PR’larına ek açıklama
En iyi kapsam JavaScript/TypeScript CodeQL alert’larındadır.
Developer iş akışı entegrasyonu
Geliştirici açısından Autofix şöyle görünür:
PR → Code scanning check başarısız
→ Alert açıklaması + "Copilot suggests a fix" buton
→ Önerilen diff göster
→ "Apply and commit suggestion" → Branch'e commit
Alert arayüzünde de görünür:
Security → Code scanning → Alert detay → "Generate fix"
Etkinleştirme
Org → Settings → Security → Copilot Autofix for code scanning → Enable
veya Enterprise policy olarak:
Enterprise → Policies → GitHub Copilot → Autofix → Enable
Güven modeli ve sınırlar
Autofix’in güvenlik garantisi:
- Öneri, Copilot tarafından üretilir — insan review’ı gerektirir
- Önerilen düzeltme, başka güvenlik açığı yaratabilir — her öneri test edilmeli
- Büyük refactor gerektiren açıklıklar için öneri yetersiz kalabilir
Ne zaman Autofix yeterli değil?
- Mimariye müdahale gerektiren açıklıklar
- Taint path’in kaynağı birden fazla dosyada
- Legacy kod ile derin entegrasyon
Security campaign’ler ile entegrasyon
Security campaign başlatıldığında, kampanya kapsamındaki alert’lar için toplu Autofix önerisi üretilebilir. Bu, büyük backlog’ları temizlemede hız kazandırır.
Sıravda Autofix soruları
“Geliştiricilerimiz code scanning alert’larını düzeltemiyorlar, yeterli bilgileri yok.” → Copilot Autofix etkinleştir, öneri özelliği geliştiricilere rehberlik sağlar.
“Copilot Autofix güvenli mi, direkt prod’a uygulayabilir miyiz?” → Hayır — her öneri insan review’ı ve test gerektirir.
Sırada ne var?
SLA ve security policy — güvenlik açıklarını kapatma süreleri ve organizasyon politikaları nasıl tanımlanır.