AI-drevet rettelse": GitHub tilbyr nå "Copilot Autofix"-forslag for kodevulnerabiliteter

InfoWorld rapporterer at Microsoft-eide GitHub "har lansert Copilot Autofix, en AI-drevet tjeneste for å rette opp i programvarevulnerabiliteter." Funksjonen ble tilgjengelig onsdag som en del av GitHub Advanced Security (eller GHAS)-tjenesten: "Copilot Autofix analyserer sårbarheter i kode, forklarer hvorfor de er viktige, og tilbyr kodeforslag som hjelper utviklere med å fikse sårbarheter så fort de blir oppdaget," sier GitHub i annonseringen. GHAS-kunder på GitHub Enterprise Cloud har allerede Copilot Autofix inkludert i sin abonnement. GitHub har aktivert Copilot Autofix som standard for disse kundene i deres GHAS-kode-scanning-innstillinger. Fra september vil Copilot Autofix også tilbys gratis i pull-requests til åpne kildekode-prosjekter. Under den offentlige betaen, som startet i mars, fant GitHub at utviklere som brukte Copilot Autofix fikset kodevulnerabiliteter mer enn tre ganger raskere enn de som gjorde det manuelt, noe som demonstrerer hvordan AI-agenter som Copilot Autofix kan radikalt forenkle og akselerere programvareutvikling. "Siden vi implementerte Copilot Autofix, har vi observert en 60% reduksjon i tiden brukt på sikkerhetsrelaterte kodegjennomganger," sier en hovedingeniør sitert i GitHub-annonseringen, "og en 25% økning i utviklingsproduktiviteten." Annonseringen noterer også at Copilot Autofix "utnytter CodeQL-motoren, GPT-4o og en kombinasjon av heuristikker og GitHub Copilot-APIer." Kode-scanning-verktøy detekterer sårbarheter, men de løser ikke det grunnleggende problemet: remediering krever sikkerhetsekspertise og tid, to verdifulle ressurser som er i kritisk mangel. Med andre ord er det ikke å finne sårbarheter som er problemet. Å fikse dem er... Utviklere kan holde nye sårbarheter ute av koden sin med Copilot Autofix i pull-forespørselen, og nå også betale ned gjelden av sikkerhetsgjeld med å generere fikser for eksisterende sårbarheter... Fikser kan genereres for dusinvis av klasser av kodevulnerabiliteter, som SQL-injection og cross-site scripting, som utviklere kan avvise, redigere eller commit i pull-forespørselen sin... For utviklere som ikke nødvendigvis er sikkerhetsekspertise, er Copilot Autofix som å ha ekspertisen til ditt sikkerhetsteam rett ved din side mens du gjennomgår kode... Som det globale hjemmet for åpne kildekode-samfunnet, er GitHub unikt posisjonert til å hjelpe vedlikeholdere med å detektere og remediere sårbarheter, så åpne kildekode-programvare blir sikrere og mer pålitelig for alle. Vi tror sterkt på at det er veldig viktig å være både en ansvarlig forbruker av åpne kildekode-programvare og bidragsyter tilbake til det, hvilket er hvorfor åpne kildekode-vedlikeholdere allerede kan bruke GitHub's kode-scanning, hemmelighetscanning, avhengighetsstyring og private sårbarhetsrapportering-verktøy uten kostnad. Fra september er vi glade for å legge til Copilot Autofix i pull-requests til denne listen og tilby det gratis til alle åpne kildekode-prosjekter... Mens ansvaret for programvaresikkerhet fortsatt hviler på utviklerne, tror vi at AI-agenter kan hjelpe med å lettet en stor del av byrden. Med Copilot Autofix er vi ett steg nærmere vår visjon hvor en sårbarhet som blir funnet, betyr en sårbarhet som blir fikset.