„KI-gestützte Behebung“: GitHub bietet nun "Copilot Autofix"-Vorschläge für Code-Schwachstellen an

InfoWorld berichtet, dass GitHub, ein von Microsoft besitztes Unternehmen, "Copilot Autofix vorgestellt hat, einen AI-gestützten Dienst zur Behebung von Software-Schwachstellen." Die Funktionsweise wurde am Mittwoch als Teil des GitHub Advanced Security (oder GHAS)-Dienstes verfügbar: "Copilot Autofix analysiert Schwachstellen im Code, erklärt, warum sie wichtig sind, und bietet Code-Vorschläge, die Entwicklern helfen, Schwachstellen so schnell wie möglich zu beheben, sobald sie gefunden werden", so GitHub in der Ankündigung. GHAS-Kunden auf GitHub Enterprise Cloud haben bereits Copilot Autofix in ihrem Abonnement enthalten. GitHub hat Copilot Autofix standardmäßig für diese Kunden in ihren GHAS-Code-Scan-Einstellungen aktiviert. Ab September wird Copilot Autofix kostenlos in Pull-Requests für Open-Source-Projekte angeboten. Während des öffentlichen Betatests, der im März begann, stellte GitHub fest, dass Entwickler, die Copilot Autofix nutzten, Code-Schwachstellen mehr als dreimal so schnell behoben haben wie jene, die es manuell taten, was zeigt, wie AI-Agenten wie Copilot Autofix die Softwareentwicklung radikal vereinfachen und beschleunigen können. "Seit der Implementierung von Copilot Autofix haben wir eine 60-prozentige Reduzierung der Zeit für sicherheitsbezogene Code-Reviews beobachtet", so ein zitierter leitender Ingenieur in der GitHub-Ankündigung, "und eine 25-prozentige Erhöhung der gesamten Entwicklungseffizienz." Die Ankündigung weist auch darauf hin, dass Copilot Autofix "den CodeQL-Motor, GPT-4o, und eine Kombination von Heuristiken und GitHub Copilot-APIs nutzt." Code-Scan-Tools erkennen Schwachstellen, aber sie lösen nicht das grundlegende Problem: Die Behebung erfordert Sicherheitsexpertise und Zeit, zwei wertvolle Ressourcen, die knapp sind. Mit anderen Worten, das Finden von Schwachstellen ist nicht das Problem. Die Behebung ist es... Entwickler können mit Copilot Autofix neue Schwachstellen in ihrem Code vermeiden, indem sie Pull-Requests bearbeiten, und auch den Rückstand an Sicherheits-Schulden abbauen, indem sie Lösungen für bestehende Schwachstellen generieren... Lösungen können für Dutzende von Kategorien von Code-Schwachstellen wie SQL-Injection und Cross-Site-Scripting generiert werden, die Entwickler ablehnen, bearbeiten oder in ihrem Pull-Request commiten können... Für Entwickler, die keine Sicherheitsexperten sind, ist Copilot Autofix wie das haben von Expertenwissen ihres Sicherheitsteams bei der Code-Überprüfung... Als globales Zuhause der Open-Source-Gemeinschaft ist GitHub einzigartig positioniert, um Maintainer dabei zu helfen, Schwachstellen zu erkennen und zu beheben, damit Open-Source-Software für jeden sicherer und zuverlässiger ist. Wir sind fest überzeugt, dass es sehr wichtig ist, sowohl ein verantwortungsvoller Konsument von Open-Source-Software zu sein, als auch zum Open-Source-Ökosystem beizutragen, weshalb Open-Source-Maintainer bereits GitHub's Code-Scan-, Secret-Scan-, Abhängigkeitsmanagement- und private Sicherheitsberichterstattungstools kostenlos nutzen können. Ab September sind wir begeistert, Copilot Autofix in Pull-Requests diesem Angebot hinzuzufügen und es allen Open-Source-Projekten kostenlos anzubieten... Während die Verantwortung für die Software-Sicherheit weiterhin auf den Schultern der Entwickler liegt, glauben wir, dass AI-Agenten viel von dieser Last tragen können... Mit Copilot Autofix sind wir einem Schritt näher an unserem Ziel, dass eine gefundene Schwachstelle auch eine behobene Schwachstelle ist.