AI-Pohjainen Korjaus": GitHub Tarjoaa Nyt "Copilot Autofix" -Ehdotuksia Koodin Haavoittuvuuksien Korjaamiseen

InfoWorld kertoo, että Microsoftin omistama GitHub "on julkistanut Copilot Autofixin, AI-pohjaisen ohjelmistovulnerabiliteettien korjauspalvelun." Ominaisuus tuli käyttöön keskiviikkona osana GitHub Advanced Security (tai GHAS) -palvelua: "Copilot Autofix analysoi koodin haavoittuvuudet, selittää miksi ne ovat tärkeitä ja tarjoaa koodiehdotuksia, joiden avulla kehittäjät voivat korjata haavoittuvuudet niin nopeasti kuin ne löydetään," GitHub sanoi tiedotteessa. GHAS-asiakkaille GitHub Enterprise Cloudissa Copilot Autofix on jo sisältynyt tilaukseen. GitHub on otettanut Copilot Autofixin käyttöön oletusarvoisesti näille asiakkaille GHAS-koodin skannausasetuksissa. Alkaen syyskuusta Copilot Autofix tarjotaan ilmaiseksi avoimen lähdekoodin projekteille pull requesteissä. Julkisen beta-testauksen aikana, joka alkoi maaliskuussa, GitHub huomasi, että kehittäjät, joita käytti Copilot Autofixia, korjasivat koodin haavoittuvuudet yli kolme kertaa nopeammin kuin ne, joita tehtiin manuaalisesti, osoittamassa, kuinka AI-agentit, kuten Copilot Autofix, voivat radikaalisti yksinkertaistaa ja nopeuttaa ohjelmistokehitystä. "Kun olemme käyttäneet Copilot Autofixia, olemme havainne 60% vähennyksen turvallisuuteen liittyvien koodin tarkastusten ajassa," sanoo yksi pääinsinööri GitHubin tiedotteessa, "ja 25% kasvun koko kehitysproduktiivisuudessa." Tiedotteessa mainitaan myös, että Copilot Autofix "hyödyntää CodeQL-moottoria, GPT-4o:ta ja yhdistelmää heuristiikoita ja GitHub Copilot -API:itä." Koodin skannaus työkalut havaitsevat haavoittuvuudet, mutta ne eivät ratkaise perustavaa ongelmaa: korjaaminen vaatii turvallisuusasiantuntemusta ja aikaa, kaksi arvokasta resurssia, joita on kireästi saatavilla. Toisin sanoen, haavoittuvuuksien löytäminen ei ole ongelma. Niiden korjaaminen on... Kehittäjät voivat pitää uudet haavoittuvuudet poissa koodistaan Copilot Autofixin avulla pull requestissä, ja nyt myös maksaa turvallisuuden velkaa generoimalla korjauksia olemassa oleville haavoittuvuuksille... Korjauksia voidaan generoida kymmenille luokille koodin haavoittuvuuksille, kuten SQL-injektio ja XSS, joita kehittäjät voivat hylätä, muokata tai commitata pull requestissä... Kehittäjille, joilla ei ole välttämättä turvallisuusasiantuntemusta, Copilot Autofix on kuin oman turvallisuustiimisi asiantuntemus käytettävissäsi, kun tarkastelet koodia... Kun GitHub on globaali koti avoimen lähdekoodin yhteisölle, GitHub on ainutlaatuisessa asemassa auttaakseen ylläpitäjiä havaitsemaan ja korjaamaan haavoittuvuudet, jotta avoimen lähdekoodin ohjelmistot ovat turvallisempia ja luotettavampia kaikille. Uskomme, että on erittäin tärkeää olla sekä vastuullinen avoimen lähdekoodin kuluttaja että sen edistäjä, miksi avoimen lähdekoodin ylläpitäjät voivat jo nyt käyttää GitHubin koodin skannaus, salaisuuden skannaus, riippuvuuden hallinta ja yksityisen haavoittuvuuden ilmoitus työkaluja ilmaiseksi. Alkaen syyskuusta olemme innoissamme lisäämään Copilot Autofixin pull requesteihin ilmaiseksi kaikkiin avoimen lähdekoodin projekteihin... Vaikka ohjelmistoturvallisuuden vastuu jää kehittäjien harteille, uskomme, että AI-agentit voivat helpottaa paljon taakkaa. Copilot Autofixin avulla olemme yhden askeleen lähempänä visiota, jossa haavoittuvuuden löytäminen tarkoittaa haavoittuvuuden korjaamista.