'AI驱动的修复'：GitHub现在提供了'Copilot Autofix'代码漏洞修复建议

InfoWorld报道称，微软拥有的GitHub“推出了Copilot Autofix，这是一个AI驱动的软件漏洞修复服务。” 该功能于周三作为GitHub高级安全（GHAS）服务的一部分推出： "Copilot Autofix分析代码中的漏洞，解释它们的重要性，并提供代码建议，以帮助开发者快速修复漏洞，就像它们被发现一样。" GitHub在公告中说。 GHAS客户在GitHub Enterprise Cloud上已经在他们的订阅中包含Copilot Autofix。 GitHub已经在GHAS代码扫描设置中默认启用了Copilot Autofix供这些客户使用。 从9月开始，Copilot Autofix将免费提供给开源项目的pull请求中。 在3月开始的公共测试版中，GitHub发现使用Copilot Autofix的开发者比手动修复代码漏洞的速度快了三倍，表明了AI代理如Copilot Autofix如何极大地简化和加速软件开发。 "自从实施Copilot Autofix以来，我们观察到安全相关代码审查时间减少了60%，总体开发生产力增加了25%。" 公告中引用的一个高级工程师说。 公告还指出"Copilot Autofix利用CodeQL引擎、GPT-4o和GitHub Copilot API的组合。" 代码扫描工具可以检测漏洞，但它们不解决根本问题：修复需要安全专业知识和时间，这两者都是非常稀缺的资源。换言之，找到漏洞不是问题。修复它们才是... 开发者可以使用Copilot Autofix在pull请求中避免新漏洞进入代码，并现在也可以通过生成现有漏洞的修复来偿还安全债务... 可以为数十种代码漏洞生成修复，如SQL注入和跨站脚本攻击，开发者可以在pull请求中dismiss、edit或commit这些修复... 对于不是安全专家的开发者来说，Copilot Autofix就像在代码审查时拥有您团队的安全专家一样... 作为全球开源社区的家园，GitHub独特地位于帮助维护者检测和修复漏洞，以便开源软件对每个人都更加安全和可靠。我们坚信，既要作为开源软件的负责任消费者，也要作为贡献者回馈它，这就是为什么开源维护者可以免费使用GitHub的代码扫描、秘密扫描、依赖管理和私人漏洞报告工具的原因。从9月开始，我们很高兴地将Copilot Autofix添加到pull请求中，并免费提供给所有开源项目... 虽然软件安全的责任仍然落在开发者的肩上，但我们认为AI代理可以帮助减轻许多负担... 通过Copilot Autofix，我们离我们的愿景更近一步，即发现一个漏洞就意味着修复一个漏洞。