GitHub Code Scanningは、昨年買収したSemmleのソフトウェアを基にした脆弱性解析エンジンである
「CodeQL」を用いてコードリポジトリ内のコードを解析します。
コードのプッシュ時に解析を行い、結果がプルリクエストに反映されることで、
開発ワークフローのなかで継続的に脆弱性に対するコードの品質を保つことができます。

https://www.publickey1.jp/blog/20/githubgithub_code_scanninggithub_satellite_2020.html

GitHubからコードの脆弱性を発見してくれるサービスである

「GitHub Code Scanning」が発表になりました。

オープンソースのプロジェクトには基本的に無料で提供されるとのことですが、

将来的には商用のプライベートリポジトリでもアクセスできるようになっていく可能性がありますね。

また、修正方法についてもサジェストがあるようで、

初心者がやりがちな間違いというのは、エディタ側やリポジトリ側で

ガイドしてくれるようになっていくのかもしれません。

脆弱性の無償検出サービスはGoogleではCloud Security Scannerや

OSSのOWASP ZAP、有償だとVEXなど様々なツールがありますが、

最近では選択肢が増えすぎたので、簡単に一括で複数の脆弱性診断ツールを実行したりするような

サービスがあれば需要がありそうな気がします。