Remediação 'Impulsionada por IA': GitHub agora oferece sugestões de 'Copilot Autofix' para vulnerabilidades de código

A InfoWorld relata que o GitHub, de propriedade da Microsoft, "lançou o Copilot Autofix, um serviço de remediação de vulnerabilidades de software impulsionado por IA." A característica está disponível desde quarta-feira como parte do serviço GitHub Advanced Security (ou GHAS): "Copilot Autofix analisa vulnerabilidades no código, explica por que elas importam e oferece sugestões de código que ajudam os desenvolvedores a consertar vulnerabilidades tão rápido quanto elas são encontradas", disse o GitHub no anúncio. Os clientes do GHAS no GitHub Enterprise Cloud já têm o Copilot Autofix incluído em sua assinatura. O GitHub ativou o Copilot Autofix por padrão para esses clientes em suas configurações de análise de código GHAS. A partir de setembro, o Copilot Autofix será oferecido gratuitamente em solicitações de pull para projetos de código aberto. Durante a beta pública, que começou em março, o GitHub descobriu que os desenvolvedores usando o Copilot Autofix estavam consertando vulnerabilidades de código mais de três vezes mais rápido do que aqueles fazendo isso manualmente, demonstrando como agentes de IA como o Copilot Autofix podem simplificar e acelerar radicalmente o desenvolvimento de software. "Desde que implementamos o Copilot Autofix, observamos uma redução de 60% no tempo gasto em revisões de código relacionadas à segurança", disse um engenheiro principal citado no anúncio do GitHub, "e um aumento de 25% na produtividade de desenvolvimento geral." O anúncio também observa que o Copilot Autofix "usa o motor CodeQL, GPT-4o e uma combinação de heurísticas e APIs do GitHub Copilot." As ferramentas de varredura de código detectam vulnerabilidades, mas não abordam o problema fundamental: a remediação requer expertise em segurança e tempo, dois recursos valiosos em oferta crítica. Em outras palavras, encontrar vulnerabilidades não é o problema. Consertá-las é... Os desenvolvedores podem manter novas vulnerabilidades fora de seu código com o Copilot Autofix na solicitação de pull, e agora também podem reduzir a dívida de segurança existente gerando consertos para vulnerabilidades existentes... Os consertos podem ser gerados para dezenas de classes de vulnerabilidades de código, como injeção de SQL e scripting cross-site, que os desenvolvedores podem descartar, editar ou confirmar em seu pull request.... Para os desenvolvedores que não são necessariamente especialistas em segurança, o Copilot Autofix é como ter a expertise de sua equipe de segurança ao seu alcance enquanto você revisa o código... Como a casa global da comunidade de código aberto, o GitHub está singularmente posicionado para ajudar os mantenedores a detectar e remediar vulnerabilidades para que o software de código aberto seja mais seguro e confiável para todos. Acreditamos firmemente que é muito importante ser tanto um consumidor responsável de software de código aberto quanto um contribuidor de volta a ele, o que é por que os mantenedores de código aberto podem já aproveitar as ferramentas de varredura de código, varredura de segredos, gerenciamento de dependências e relatórios de vulnerabilidade privada do GitHub sem custo. A partir de setembro, estamos animados em adicionar o Copilot Autofix em solicitações de pull a essa lista e oferecê-lo gratuitamente a todos os projetos de código aberto... Enquanto a responsabilidade pela segurança do software continua a recair sobre os ombros dos desenvolvedores, acreditamos que os agentes de IA podem ajudar a aliviar muito do fardo.... Com o Copilot Autofix, estamos mais próximos de nossa visão em que uma vulnerabilidade encontrada significa uma vulnerabilidade consertada.