« Rémediation alimentée par l'IA » : GitHub propose maintenant des suggestions de 'Copilot Autofix' pour les vulnérabilités de code

InfoWorld rapporte que GitHub, propriété de Microsoft, "a dévoilé Copilot Autofix, un service de réparation de vulnérabilités logicielles alimenté par l'IA." La fonctionnalité est devenue disponible mercredi comme partie du service GitHub Advanced Security (ou GHAS) : "Copilot Autofix analyse les vulnérabilités dans le code, explique pourquoi elles comptent et propose des suggestions de code pour aider les développeurs à réparer les vulnérabilités dès qu'elles sont détectées", a déclaré GitHub dans l'annonce. Les clients GHAS sur GitHub Enterprise Cloud ont déjà Copilot Autofix inclus dans leur abonnement. GitHub a activé Copilot Autofix par défaut pour ces clients dans leurs paramètres de scan de code GHAS. À partir de septembre, Copilot Autofix sera offert gratuitement dans les demandes de tirage (pull requests) pour les projets open source. Pendant la bêta publique, qui a commencé en mars, GitHub a constaté que les développeurs utilisant Copilot Autofix réparaient les vulnérabilités de code plus de trois fois plus vite que ceux qui le faisaient manuellement, démontrant comment les agents IA tels que Copilot Autofix peuvent radicalement simplifier et accélérer le développement de logiciels. "Depuis que nous avons mis en œuvre Copilot Autofix, nous avons observé une réduction de 60% du temps passé sur les révisions de code liées à la sécurité", a déclaré un ingénieur principal cité dans l'annonce de GitHub, "et une augmentation de 25% de la productivité de développement globale." L'annonce note également que Copilot Autofix "exploite le moteur CodeQL, GPT-4o, et une combinaison de heuristiques et d'API GitHub Copilot." Les outils de scan de code détectent les vulnérabilités, mais ils ne résolvent pas le problème fondamental : la réparation nécessite une expertise en sécurité et du temps, deux ressources précieuses qui manquent cruellement. En d'autres termes, trouver les vulnérabilités n'est pas le problème. Les réparer, c'est le problème... Les développeurs peuvent maintenant garder les nouvelles vulnérabilités hors de leur code avec Copilot Autofix dans la demande de tirage, et également réduire la dette de sécurité existante en générant des réparations pour les vulnérabilités existantes... Les réparations peuvent être générées pour des dizaines de classes de vulnérabilités de code, comme l'injection SQL et le scripting inter-sites, que les développeurs peuvent ignorer, modifier ou valider dans leur demande de tirage.... Pour les développeurs qui ne sont pas nécessairement des experts en sécurité, Copilot Autofix est comme avoir l'expertise de votre équipe de sécurité à vos doigts pendant que vous examinez le code... En tant que maison mondiale de la communauté open source, GitHub est unique pour aider les maintainers à détecter et à réparer les vulnérabilités afin que le logiciel open source soit plus sûr et plus fiable pour tous. Nous croyons fermement qu'il est très important d'être à la fois un consommateur responsable de logiciels open source et de contribuer en retour, c'est pourquoi les maintainers open source peuvent déjà utiliser gratuitement les outils de scan de code, de scan de secrets, de gestion des dépendances et de signalement de vulnérabilités privées de GitHub. À partir de septembre, nous avons le plaisir d'ajouter Copilot Autofix dans les demandes de tirage à cette liste et de l'offrir gratuitement à tous les projets open source... Alors que la responsabilité de la sécurité des logiciels continue de reposer sur les épaules des développeurs, nous croyons que les agents IA peuvent aider à soulager une grande partie de cette charge.... Avec Copilot Autofix, nous nous rapprochons de notre vision d'un avenir où une vulnérabilité trouvée signifie une vulnérabilité réparée.