«Ремедиация, управляемая ИИ»: GitHub теперь предлагает «автофиксы Copilot» для уязвимостей в коде

InfoWorld сообщает, что Microsoft-owned GitHub "представила Copilot Autofix, AI-управляемую службу исправления уязвимостей в программном обеспечении." Функция стала доступна в среду как часть службы GitHub Advanced Security (GHAS): "Copilot Autofix анализирует уязвимости в коде, объясняет, почему они важны, и предлагает кодовые предложения, которые помогают разработчикам исправлять уязвимости так быстро, как они обнаруживаются," - сказал GitHub в объявлении. Клиенты GHAS на GitHub Enterprise Cloud уже имеют Copilot Autofix включенным в свою подписку. GitHub включил Copilot Autofix по умолчанию для этих клиентов в настройках сканирования кода GHAS. Начиная с сентября, Copilot Autofix будет предлагаться бесплатно в запросах на включение в открытые проекты. Во время публичной бета-версии, начавшейся в марте, GitHub обнаружил, что разработчики, использующие Copilot Autofix, исправляли кодовые уязвимости более чем в три раза быстрее, чем те, кто делал это вручную, демонстрируя, как AI-агенты, такие как Copilot Autofix, могут радикально упрощать и ускорять разработку программного обеспечения. "С тех пор как мы начали использовать Copilot Autofix, мы наблюдали 60% сокращение времени, проведенного на обзоре кода, связанного с безопасностью," - говорит один из старших инженеров, цитируемый в объявлении GitHub, "и 25% увеличение общей производительности разработки." Объявление также отмечает, что Copilot Autofix "использует движок CodeQL, GPT-4o и комбинацию гепуристик и API GitHub Copilot." Сканеры кода обнаруживают уязвимости, но не решают основную проблему: исправление требует знаний в области безопасности и времени, двух ценных ресурсов, которые находятся в критически коротком снабжении. В других словах, найти уязвимости не проблема. Исправить их - это проблема... Разработчики могут держать новый код без уязвимостей с помощью Copilot Autofix в запросе на включение, и теперь также оплачивать долг по безопасности, генерируя исправления для существующих уязвимостей... Исправления могут быть сгенерированы для десятков классов кодовых уязвимостей, таких как SQL-инъекции и межсайтовый скриптинг, которые разработчики могут отклонять, редактировать или коммитать в своих запросах на включение.... Для разработчиков, которые не обязательно являются экспертами в области безопасности, Copilot Autofix - это как иметь экспертизу вашей команды безопасности у вас под рукой, когда вы просматриваете код... Будучи глобальным домом для сообщества открытого исходного кода, GitHub находится в уникальном положении, чтобы помочь поддерживать исправление уязвимостей и делать программное обеспечение более безопасным и надежным для всех. Мы твердо верим, что крайне важно быть как ответственным потребителем программного обеспечения с открытым исходным кодом, так и вносить свой вклад в него, что является причиной того, почему поддерживаемые проекты могут уже сейчас использовать инструменты GitHub для сканирования кода, сканирования секретов, управления зависимостями и частного отчета о уязвимостях бесплатно. Начиная с сентября, мы рады добавить Copilot Autofix в запросы на включение в этот список и предложить его бесплатно всем проектам с открытым исходным кодом... Хотя ответственность за безопасность программного обеспечения по-прежнему лежит на плечах разработчиков, мы считаем, что AI-агенты могут помочь снять с них часть бремени.... С Copilot Autofix мы на шаг ближе к нашей цели, когда обнаружение уязвимости означает исправление уязвимости.