AI-gebaseerde herstel": GitHub biedt nu "Copilot Autofix"-suggesties voor code-vulnerabilities

InfoWorld meldt dat Microsoft-eigendom GitHub "Copilot Autofix heeft gelanceerd, een AI-gebaseerde dienst voor het herstellen van software-vulnerabiliteiten." De functie werd woensdag beschikbaar gesteld als onderdeel van de GitHub Advanced Security (of GHAS)-dienst: "Copilot Autofix analyseert kwetsbaarheden in code, legt uit waarom ze belangrijk zijn en biedt code-suggesties die ontwikkelaars helpen om kwetsbaarheden zo snel mogelijk te herstellen," aldus GitHub in de aankondiging. GHAS-klanten op GitHub Enterprise Cloud hebben Copilot Autofix al inbegrepen in hun abonnement. GitHub heeft Copilot Autofix standaard ingeschakeld voor deze klanten in hun GHAS-code-scanning-instellingen. Vanaf september zal Copilot Autofix kosteloos worden aangeboden in pull requests voor open source-projecten. Tijdens de openbare bèta, die in maart begon, ontdekte GitHub dat ontwikkelaars die Copilot Autofix gebruikten code-vulnerabiliteiten meer dan drie keer sneller herstelden dan diegene die het handmatig deden, wat aantoont hoe AI-agenten zoals Copilot Autofix software-ontwikkeling radicaal kunnen vereenvoudigen en versnellen. "Sinds we Copilot Autofix hebben geïmplementeerd, hebben we een 60% daling in de tijd besteed aan beveiligingsgerelateerde code-reviews gezien," zegt een hoofd-ingenieur in GitHub's aankondiging, "en een 25% stijging in de algemene ontwikkelingsproductiviteit." De aankondiging vermeldt ook dat Copilot Autofix "de CodeQL-engine, GPT-4o, en een combinatie van heuristieken en GitHub Copilot-API's gebruikt." Code-scanning-tools detecteren kwetsbaarheden, maar ze lossen het fundamentele probleem niet op: herstel kost beveiligingsdeskundigheid en tijd, twee waardevolle bronnen die schaars zijn. Met andere woorden, het vinden van kwetsbaarheden is niet het probleem. Het herstellen ervan is... Ontwikkelaars kunnen nieuwe kwetsbaarheden uit hun code houden met Copilot Autofix in de pull request, en nu ook de achterstand van beveiligingschuld aflossen door fixes te genereren voor bestaande kwetsbaarheden... Fixes kunnen worden gegenereerd voor tientallen klassen van code-kwetsbaarheden, zoals SQL-injectie en cross-site scripting, die ontwikkelaars kunnen negeren, bewerken of committen in hun pull request.... Voor ontwikkelaars die geen beveiligingsdeskundigen zijn, is Copilot Autofix als het hebben van de expertise van je beveiligingsteam bij de hand terwijl je code beoordeelt... Als het wereldwijde thuis van de open source-gemeenschap is GitHub uniek gepositioneerd om maintainers te helpen bij het detecteren en herstellen van kwetsbaarheden, zodat open source-software veiliger en betrouwbaarder is voor iedereen. We geloven sterk dat het belangrijk is om zowel een verantwoordelijke consument van open source-software te zijn als een bijdrager eraan, wat is waarom open source-maintainers al kunnen profiteren van GitHub's code-scanning, secret-scanning, dependency management en private vulnerability reporting-tools zonder kosten. Vanaf september zijn we enthousiast om Copilot Autofix in pull requests toe te voegen aan deze lijst en het kosteloos aan te bieden aan alle open source-projecten... Terwijl de verantwoordelijkheid voor software-beveiliging nog steeds op de schouders van ontwikkelaars rust, geloven we dat AI-agenten een groot deel van de last kunnen wegnemen.... Met Copilot Autofix komen we een stap dichter bij ons visioen waarbij een gevonden kwetsbaarheid een herstelde kwetsbaarheid betekent.