Wie ein Frosch mich in GitHub Agents verliebt hat

Ein großes Lob an den brillanten Matteo Bianchi, Solutions Engineer bei GitHub, der diesen kleinen Frosch erstellt hat, der mir jedes Mal ein Lächeln ins Gesicht zaubert, wenn er mir begegnet.

Warum Sicherheit Entwickler immer noch frustriert

Sicherheit ist schwer. Wir haben alle schon unzählige Male gesehen, wie selbst große Unternehmen mit umfangreichen Sicherheitsabteilungen einfachen Angriffen zum Opfer fallen, weil unsicherer Code in die Produktion gelangt. Aber so schwer muss es nicht sein.

Ein Grund, warum sich Sicherheit und Compliance oft wie ein lästiger Zwang anfühlen, ist, dass sie weit weg vom Code behandelt werden. Die Developer Experience leidet, wenn stolze Entwickler, die bereit sind, ihre neue coole Funktion zu veröffentlichen, von einem separaten Team blockiert werden, das Ergebnisse aus einem obskuren Tool zitiert, das kein Entwickler je geöffnet hat.

Ich liebe SonarQube, aber wow – ich habe viele Beispiele gesehen, bei denen die meisten Entwickler im Team es nie öffnen und alle Scans dort nur abgelegt werden, weil jemand gesagt hat, wir müssten das tun. Und genau das untergräbt den ganzen Zweck.

Wie GitHub Advanced Security (GHAS) Sicherheit direkt in den Workflow bringt

Als ich anfing, mit GHAS zu arbeiten, war ich begeistert, dass es eine Möglichkeit bietet, Sicherheit und Compliance genau dort zu integrieren, wo die Entwickler ohnehin arbeiten – mit den Tools, die sie jeden Tag nutzen. Alle verwundbaren Abhängigkeiten werden durch automatische Pull Requests behoben, die die Entwickler überprüfen können, während sie ohnehin die Pull Requests ihrer Kollegen anschauen. Mit CodeQL und Copilot Auto-Fix sind wir noch einen Schritt weiter gegangen und beheben automatisch Sicherheitslücken im Code.

Schaut euch auch unser GitHub Enterprise Cloud E-Manual an.

Ein benutzerdefinierter GitHub-Agent, der Sicherheitslücken behebt

Nun ist es an der Zeit, meinen Lieblings-Sicherheitsfrosch vorzustellen.

Der Frosch ist ein benutzerdefinierter Agent, den Matteo entwickelt hat. Er ruft Informationen über die GHAS-API ab und kann so alle Schwachstellen in einem Repository erfassen – dann hüpft er von einer zur nächsten und behebt sie alle in einem einzigen Pull Request, um seinen „Teich“ zu sichern. Und das alles, während er „ribbit“ schreibt und ein kleines Frosch-Emoji im PR-Titel trägt. 🐸

Der kleine Frosch-PR macht mich nicht nur glücklich, weil er so verspielt, witzig und charmant ist – er ist auch ein Agent, der sicherstellt, dass Sicherheitskorrekturen sofort bereitstehen, sobald eine Schwachstelle entdeckt wird. Ich werde einfach von meinem Frosch benachrichtigt, sobald der Fix zur Überprüfung bereit ist.

Ein Frosch, der durch Sicherheitslücken hüpft und dabei quakt, ist vielleicht nicht jedermanns Sache – aber genau das zeigt die Stärke benutzerdefinierter Agenten. Wenn ihr lieber eine andere Persönlichkeit, nerdige Referenzen zu eurem Lieblingshobby oder einfach nur nüchterne Fixes mögt – ihr könnt frei wählen, was am besten zu eurem Team passt.

Für mich war gerade die verspielte Natur des Sicherheitsfroschs der Grund, warum ich mich in das Konzept der benutzerdefinierten Agenten verliebt habe: Sie machen Sicherheitskorrekturen spaßig. Ich freue mich darauf zu lesen, wie der kleine Frosch seinen Teich von Bedrohungen befreit hat, statt mich vor dem nächsten automatisierten PR zu fürchten (manchmal schreibe ich eben doch lieber Code, als ihn zu reviewen).

Baut euch euren eigenen Sicherheitsfrosch: Einrichtung in wenigen Minuten

Falls ihr euch fragt, wie ihr euren eigenen Sicherheitsfrosch bekommt, der fröhlich durch Schwachstellen hüpft, findet ihr ihr, was ihr braucht:

Da der Sicherheitsfrosch die GHAS-API durchforstet, um Informationen darüber zu erhalten, was zu beheben ist, muss GHAS mit Dependabot und CodeQL eingerichtet werden, damit wir Zugang zu einer übersichtlichen Liste der zu behebenden Schwachstellen haben. Außerdem müsst ihr Copilot installiert haben, damit ihr einen benutzerdefinierten Coding Agent einrichten können.

Ihr könnt den fantastischen Frosch genau hier finden und ihn noch heute in euren eigenen Repos ausprobieren: https://github.com/github-community-projects/breath-of-copilot-universe-2025/blob/main/.github/agents/frog-sec-fixer.md

PS: Das Repository, in dem ihr den Frosch finden könnt, ist das Demo-Repository, das für den Vortrag erstellt wurde: Breath of Copilot: Level up your DevEx with GitHub Actions and GitHub Advanced Security. Matteo Bianchi und ich haben diesen Vortrag während des GitHub Universe 2025 gehalten.