'AI-Driven Åtgärd': GitHub erbjuder nu 'Copilot Autofix' -förslag för kodvulnerabiliteter

InfoWorld rapporterar att Microsoft-ägda GitHub "har presenterat Copilot Autofix, en AI-driven mjukvarubristtjänst." Funktionen blev tillgänglig onsdagen som en del av GitHub Advanced Security (eller GHAS)-tjänsten: "Copilot Autofix analyserar sårbarheter i kod, förklarar varför de är viktiga och erbjuder kodförslag som hjälper utvecklare att fixa sårbarheter så snabbt som de upptäcks," säger GitHub i tillkännagivandet. GHAS-kunder på GitHub Enterprise Cloud har redan Copilot Autofix inkluderat i sin prenumeration. GitHub har aktiverat Copilot Autofix som standard för dessa kunder i deras GHAS-kodscanningsinställningar. Från september kommer Copilot Autofix att erbjudas gratis i pull requests till öppen källkodprojekt. Under den offentliga betan, som började i mars, fann GitHub att utvecklare som använde Copilot Autofix fixade kodvulnerabiliteter mer än tre gånger snabbare än de som gjorde det manuellt, vilket visar hur AI-agenter som Copilot Autofix kan radikalt förenkla och accelerera mjukvaruutveckling. " Sedan vi implementerade Copilot Autofix har vi sett en 60% minskning av tiden som spenderas på säkerhetsrelaterade kodgranskningar," säger en chefsingenjör citerad i GitHub:s tillkännagivande, "och en 25% ökning av den övergripande utvecklingsproduktiviteten." Tillkännagivandet noterar också att Copilot Autofix "utnyttjar CodeQL-motorn, GPT-4o och en kombination av heuristik och GitHub Copilot-API:er." Kodscanningsverktyg upptäcker sårbarheter, men de adresserar inte det grundläggande problemet: remediation kräver säkerhetsexpertis och tid, två värdefulla resurser som är kritiskt knappa. Med andra ord är det inte att hitta sårbarheter som är problemet. Att fixa dem är... Utvecklare kan hålla nya sårbarheter borta från sin kod med Copilot Autofix i pull request, och nu också betala av säkerhetsskulden genom att generera fixar för befintliga sårbarheter... Fixar kan genereras för dussintals klasser av kodvulnerabiliteter, såsom SQL-injektion och cross-site scripting, som utvecklare kan avvisa, redigera eller commit i sina pull requests.... För utvecklare som inte nödvändigtvis är säkerhetsexperter är Copilot Autofix som att ha din säkerhetsteams expertis vid din sida när du granskar kod... Som det globala hemmet för den öppna källkodgemenskapen är GitHub unikt positionerat för att hjälpa underhållare att upptäcka och avhjälpa sårbarheter så att öppen källkod är säkrare och mer pålitlig för alla. Vi tror starkt på att det är mycket viktigt att vara både en ansvarsfull konsument av öppen källkod och bidragsgivare tillbaka till den, vilket är varför öppen källkodunderhållare redan kan utnyttja GitHub:s kodscanning, hemlighetsscanning, beroendehantering och privata sårbarhetsrapporteringstjänster utan kostnad. Från september är vi glada över att lägga till Copilot Autofix i pull requests till denna lista och erbjuda det gratis till alla öppna källkodprojekt... Medan ansvaret för mjukvarusäkerheten fortsätter att vila på utvecklarnas axlar, tror vi att AI-agenter kan hjälpa till att lätta på mycket av bördan.... Med Copilot Autofix är vi ett steg närmare vår vision där en upptäckt sårbarhet betyder en fixad sårbarhet.