'Rimedio alimentato da IA': GitHub offre ora suggerimenti di 'Copilot Autofix' per le vulnerabilità del codice

InfoWorld riporta che GitHub, di proprietà di Microsoft, "ha presentato Copilot Autofix, un servizio di rimediamento delle vulnerabilità del software alimentato dall'intelligenza artificiale." La funzione è stata resa disponibile mercoledì come parte del servizio GitHub Advanced Security (o GHAS): "Copilot Autofix analizza le vulnerabilità nel codice, spiega perché sono importanti e offre suggerimenti di codice che aiutano gli sviluppatori a risolvere le vulnerabilità velocemente come vengono scoperte", ha affermato GitHub nell'annuncio. I clienti GHAS su GitHub Enterprise Cloud hanno già Copilot Autofix incluso nella loro sottoscrizione. GitHub ha abilitato Copilot Autofix per impostazione predefinita per questi clienti nelle impostazioni di scansione del codice GHAS. A partire da settembre, Copilot Autofix sarà offerto gratuitamente nelle richieste di pull per i progetti open source. Durante la beta pubblica, iniziata a marzo, GitHub ha scoperto che gli sviluppatori che utilizzavano Copilot Autofix risolvevano le vulnerabilità del codice più di tre volte più velocemente di quelli che lo facevano manualmente, dimostrando come gli agenti di intelligenza artificiale come Copilot Autofix possano semplificare e accelerare radicalmente lo sviluppo del software. "Da quando abbiamo implementato Copilot Autofix, abbiamo osservato una riduzione del 60% del tempo speso per le revisioni del codice relative alla sicurezza", afferma un ingegnere principale citato nell'annuncio di GitHub, "e un aumento del 25% della produttività di sviluppo complessiva." L'annuncio nota anche che Copilot Autofix "sfrutta il motore CodeQL, GPT-4o e una combinazione di euristiche e API GitHub Copilot." Gli strumenti di scansione del codice rilevano le vulnerabilità, ma non affrontano il problema fondamentale: la rimediabilità richiede competenze di sicurezza e tempo, due risorse preziose in grave carenza. In altre parole, trovare le vulnerabilità non è il problema. Risolverle è... Gli sviluppatori possono tenere le nuove vulnerabilità fuori dal loro codice con Copilot Autofix nella richiesta di pull, e ora anche ripagare il debito di sicurezza esistente generando fix per le vulnerabilità esistenti... I fix possono essere generati per decine di classi di vulnerabilità del codice, come iniezione SQL e scripting cross-site, che gli sviluppatori possono respingere, modificare o commitare nella loro richiesta di pull.... Per gli sviluppatori che non sono necessariamente esperti di sicurezza, Copilot Autofix è come avere l'esperienza del tuo team di sicurezza alle tue dita mentre esamini il codice... In qualità di casa globale della comunità open source, GitHub è in una posizione unica per aiutare i manutentori a rilevare e rimediare le vulnerabilità in modo che il software open source sia più sicuro e affidabile per tutti. Crediamo fermamente che sia estremamente importante essere sia un consumatore responsabile di software open source che un contributore a esso, il che è il motivo per cui i manutentori del software open source possono già beneficiare dei tool di scansione del codice, scansione dei segreti, gestione delle dipendenze e segnalazione privata delle vulnerabilità di GitHub senza costi aggiuntivi. A partire da settembre, siamo entusiasti di aggiungere Copilot Autofix alle richieste di pull a questa lista e offrire gratuitamente a tutti i progetti open source... Mentre la responsabilità per la sicurezza del software continua a gravare sulle spalle degli sviluppatori, crediamo che gli agenti di intelligenza artificiale possano alleviare gran parte del carico.... Con Copilot Autofix, siamo un passo più vicini alla nostra visione in cui una vulnerabilità trovata significa una vulnerabilità risolta.