AI-drevet reparation": GitHub tilbyder nu "Copilot Autofix"-forslag for kodevulnerabiliteter

InfoWorld rapporterer, at Microsoft-ejede GitHub "har afsløret Copilot Autofix, en AI-drevet software-sårbarhedsreparationstjeneste." Funktionen blev tilgængelig onsdag som en del af GitHub Advanced Security (eller GHAS)-tjenesten: "Copilot Autofix analyserer sårbarheder i kode, forklarer hvorfor de er vigtige, og tilbyder kodeforslag, der hjælper udviklere med at rette sårbarheder så hurtigt, som de bliver fundet," sagde GitHub i annonceringen. GHAS-kunder på GitHub Enterprise Cloud har allerede Copilot Autofix inkluderet i deres abonnement. GitHub har aktiveret Copilot Autofix som standard for disse kunder i deres GHAS-kode-scanning-indstillinger. Fra september vil Copilot Autofix blive tilbudt gratis i pull-requests til open source-projekter. Under den offentlige beta-test, der startede i marts, fandt GitHub, at udviklere, der brugte Copilot Autofix, rettede kode-sårbarheder mere end tre gange hurtigere end dem, der gjorde det manuelt, hvilket demonstrerer, hvordan AI-agenter såsom Copilot Autofix kan radikalt forenkle og accelerere softwareudviklingen. "Siden vi implementerede Copilot Autofix, har vi observeret en 60% reduktion i tiden brugt på sikkerhedsrelaterede kode-gennemgange," siger en principal engineer citeret i GitHub's annoncering, "og en 25% øgning i den overordnede udviklingsproduktivitet." Annonceringen noterer også, at Copilot Autofix "udnytter CodeQL-motoren, GPT-4o og en kombination af heuristikker og GitHub Copilot-API'er." Kode-scanning-værktøjer opdager sårbarheder, men de løser ikke det grundlæggende problem: reparation kræver sikkerhedsekspertise og tid, to værdifulde ressourcer, der er i kritisk kort supply. Med andre ord er det ikke at finde sårbarheder, der er problemet. Det er at rette dem, der er... Udviklere kan holde nye sårbarheder ude af deres kode med Copilot Autofix i pull-requests, og nu også betale tilbage på gælden af sikkerheds-schulder ved at generere rettelser for eksisterende sårbarheder... Rettelser kan genereres for dusinvis af klasser af kode-sårbarheder, såsom SQL-injection og cross-site scripting, som udviklere kan afvise, redigere eller commit i deres pull-request.... For udviklere, der ikke nødvendigvis er sikkerhedseksperten, er Copilot Autofix som at have ekspertisen fra din sikkerhedsteam lige ved hånden, mens du gennemgår kode... Som det globale hjem for open source-fællesskabet er GitHub unikt positioneret til at hjælpe vedligeholdere med at opdage og rette sårbarheder, så open source-software bliver sikrere og mere pålidelig for alle. Vi tror stærkt på, at det er meget vigtigt at være både en ansvarlig forbruger af open source-software og bidrager tilbage til det, hvilket er hvorfor open source-vedligeholdere allerede kan udnytte GitHub's kode-scanning, hemmelighed-scanning, afhængighedshåndtering og private sårbarhedsrapportering-værktøjer uden omkostninger. Fra september er vi begejstrede for at tilføje Copilot Autofix i pull-requests til denne liste og tilbyde det gratis til alle open source-projekter... Medens ansvaret for software-sikkerhed fortsat hviler på udviklerne, tror vi, at AI-agenter kan hjælpe med at lette meget af byrden.... Med Copilot Autofix er vi ét skridt nærmere vores vision, hvor en fundet sårbarhed betyder en rettet sårbarhed.