Modül 5 · Güvenlik Operasyonları · ⏱ 10 dakika

Autofix ve Copilot Autofix (2026)

Autofix and Copilot Autofix (2026)

Bu derste neler öğreneceksin

  • Copilot Autofix'in nasıl çalıştığını ve hangi alert tiplerini desteklediğini anlamak
  • Otomatik önerme ile otomatik uygulama arasındaki güvenlik farkını kavramak
  • Developer iş akışına Autofix'in nasıl entegre edildiğini öğrenmek
  • Autofix'in sınırlarını ve güven modelini bilmek

Copilot Autofix nedir?

Copilot Autofix, code scanning alert’ları için Copilot tarafından üretilen düzeltme önerilerini otomatik olarak PR’a ekleyen özelliktir. Ocak 2026’da GA olmuştur.

Code scanning alert oluştu

Copilot analiz eder

Düzeltme önerisi üretir

PR'a yorum olarak eklenir

Geliştirici inceler + Commit et butonuna basar

Düzeltme uygulanır

Desteklenen alert tipleri (2026)

Autofix şu alert tiplerini destekler:

  • Code scanning (CodeQL) — JavaScript, TypeScript, Python, Java, Go, Ruby
  • Secret scanning — Bazı partner token tipleri için önerilen revoke adımları
  • Dependabot — güvenlik güncelleme PR’larına ek açıklama

En iyi kapsam JavaScript/TypeScript CodeQL alert’larındadır.

Developer iş akışı entegrasyonu

Geliştirici açısından Autofix şöyle görünür:

PR → Code scanning check başarısız
  → Alert açıklaması + "Copilot suggests a fix" buton
  → Önerilen diff göster
  → "Apply and commit suggestion" → Branch'e commit

Alert arayüzünde de görünür:

Security → Code scanning → Alert detay → "Generate fix"

Etkinleştirme

Org → Settings → Security → Copilot Autofix for code scanning → Enable

veya Enterprise policy olarak:

Enterprise → Policies → GitHub Copilot → Autofix → Enable

Güven modeli ve sınırlar

Autofix’in güvenlik garantisi:

  • Öneri, Copilot tarafından üretilir — insan review’ı gerektirir
  • Önerilen düzeltme, başka güvenlik açığı yaratabilir — her öneri test edilmeli
  • Büyük refactor gerektiren açıklıklar için öneri yetersiz kalabilir

Ne zaman Autofix yeterli değil?

  • Mimariye müdahale gerektiren açıklıklar
  • Taint path’in kaynağı birden fazla dosyada
  • Legacy kod ile derin entegrasyon

Security campaign’ler ile entegrasyon

Security campaign başlatıldığında, kampanya kapsamındaki alert’lar için toplu Autofix önerisi üretilebilir. Bu, büyük backlog’ları temizlemede hız kazandırır.

Sıravda Autofix soruları

“Geliştiricilerimiz code scanning alert’larını düzeltemiyorlar, yeterli bilgileri yok.” → Copilot Autofix etkinleştir, öneri özelliği geliştiricilere rehberlik sağlar.

“Copilot Autofix güvenli mi, direkt prod’a uygulayabilir miyiz?” → Hayır — her öneri insan review’ı ve test gerektirir.

Sırada ne var?

SLA ve security policy — güvenlik açıklarını kapatma süreleri ve organizasyon politikaları nasıl tanımlanır.