'AI 기반 개선': GitHub는 이제 코드 취약점에 대한 'Copilot Autofix' 제안을 제공합니다.

인포월드가 보도한 바에 따르면 마이크로소프트가 소유한 깃허브가 "AI 기반 소프트웨어 취약점 개선 서비스인 Copilot Autofix를 출시했다"고 합니다. 이 기능은 수요일에 깃허브 고급 보안(GHAS) 서비스의 일부로 출시되었습니다. "코필럿 오토픽스는 코드에서 취약점을 분석하고, 왜 중요한지 설명하고, 개발자가 취약점을 빠르게 수정하는 데 도움이 되는 코드 제안을 제공합니다." 깃허브는 발표에서 말했습니다. GHAS 고객은 이미 깃허브 엔터프라이즈 클라우드에서 코필럿 오토픽스를 포함하여 구독하고 있습니다. 깃허브는 이러한 고객에게 GHAS 코드 스캐닝 설정에서 코필럿 오토픽스를 기본적으로 활성화했습니다. 9월부터는 오픈 소스 프로젝트의 풀 리퀘스트에서 코필럿 오토픽스를 무료로 제공할 예정입니다. 3월에 시작된 공개 베타 테스트 기간 동안 깃허브는 코필럿 오토픽스를 사용하는 개발자가 수동으로 코드 취약점을 수정하는 개발자보다 코드 취약점을 약 3배 더 빠르게 수정하고 있음을 확인했습니다. 이는 AI 에이전트와 같은 코필럿 오토픽스가 소프트웨어 개발을 얼마나 간소화하고 가속화할 수 있는지 보여주는 예입니다. "코필럿 오토픽스를 구현한 후, 우리는 보안 관련 코드 리뷰에 소요되는 시간이 60% 줄어들고, 전체 개발 생산성이 25% 증가했음을 관찰했습니다." 발표에서 인용된 한 주된 엔지니어가 말했습니다. "코필럿 오토픽스는 코드QL 엔진, GPT-4o, GitHub Copilot API의 조합을 활용합니다." 코드 스캐닝 도구는 취약점을 감지하지만, 기본적인 문제를 해결하지 않습니다. 즉, 취약점을 찾는 것이 문제가 아니라, 이를 수정하는 것입니다. 이러한 수정은 보안 전문 지식과 시간이 필요합니다. 이 두 가지 자원은 현재 심각하게 부족합니다. 즉, 취약점을 찾는 것이 아니라 이를 수정하는 것이 문제입니다. 개발자는 이제 풀 리퀘스트에서 새로운 취약점을 코드에서 제거할 수 있고, 이제는 기존 취약점의 백로그를 지불할 수도 있습니다. 취약점은 SQL 삽입, 크로스 사이트 스크립팅 등 수십 가지 클래스의 코드 취약점에 대한 수정을 생성할 수 있습니다. 개발자는 이러한 수정을 삭제, 편집 또는 커밋할 수 있습니다. 보안 전문가가 아닌 개발자에게는 풀 리퀘스트 검토 중에 보안 팀의 전문 지식을 손가락 끝에 두는 것과 같습니다. 전 세계 오픈 소스 커뮤니티의 집인 깃허브는 오픈 소스 소프트웨어가 모든 사람에게 더 안전하고 신뢰할 수 있도록 취약점을 감지하고 개선하는 데 도움이 되는 도구를 제공하는 데 있어 독보적인 위치에 있습니다. 우리는 오픈 소스 소프트웨어의 책임 있는 소비자이자 기여자가 되는 것이 중요하다고 믿습니다. 이는 왜 깃허브가 코드 스캐닝, 비밀 스캐닝, 의존성 관리, 개인 취약점 보고 도구를 오픈 소스 유지자에게 무료로 제공하는지 설명합니다. 9월부터는 오픈 소스 프로젝트의 풀 리퀘스트에서 코필럿 오토픽스를 무료로 제공할 계획입니다. 개발자의 어깨에 있는 소프트웨어 보안 책임은 지속됩니다. 그러나 우리는 AI 에이전트가 이러한 부담을 많이 줄일 수 있다고 믿습니다. 코필럿 오토픽스를 통해 우리는 취약점이 발견되면 취약점이 수정되는 비전을 한 단계 더 가까워질 수 있습니다.