Разработчики GitHub представили новую ИИ-функцию, позволяющую ускорить исправление уязвимостей во время написания кода. Пока функция представлена в публичной бета-версии и автоматически включается во всех приватных репозиториях для клиентов GitHub Advanced Security (GHAS).
Функция носит название Code Scanning Autofix и работает на базе GitHub Copilot и CodeQL. По словам разработчиков, она помогает справиться с 90% предупреждений в JavaScript, Typescript, Java и Python. А в ближайшие месяцы компания планирует добавление поддержки дополнительных языков, в том числе C# и Go.
После включения новая функция предлагает возможные исправления, которые, по утверждению GitHub, помогут устранить более двух третей найденных уязвимостей, практически без редактирования.
Такие предложения и объяснения могут включать возможные изменения в текущем файле, нескольких файлах и зависимостях текущего проекта. Утверждается, что такой подход поможет значительно сократить количество уязвимостей, с которыми ежедневно сталкиваются специалисты по безопасности. В итоге они смогут сосредоточиться на обеспечении безопасности организации, и не будут тратить лишние ресурсы на устранение новых проблем, возникающих в процессе разработки.
При этом подчеркивается, что разработчики всегда должны внимательно следить за устранением уязвимостей, поскольку ИИ-функция GitHub может предлагать исправления, которые лишь частично устраняют уязвимость или не сохраняют необходимую функциональность кода.
© https://xakep.ru/2024/03/21/code-scanning-autofix/
Функция носит название Code Scanning Autofix и работает на базе GitHub Copilot и CodeQL. По словам разработчиков, она помогает справиться с 90% предупреждений в JavaScript, Typescript, Java и Python. А в ближайшие месяцы компания планирует добавление поддержки дополнительных языков, в том числе C# и Go.
После включения новая функция предлагает возможные исправления, которые, по утверждению GitHub, помогут устранить более двух третей найденных уязвимостей, практически без редактирования.
Такие предложения и объяснения могут включать возможные изменения в текущем файле, нескольких файлах и зависимостях текущего проекта. Утверждается, что такой подход поможет значительно сократить количество уязвимостей, с которыми ежедневно сталкиваются специалисты по безопасности. В итоге они смогут сосредоточиться на обеспечении безопасности организации, и не будут тратить лишние ресурсы на устранение новых проблем, возникающих в процессе разработки.
При этом подчеркивается, что разработчики всегда должны внимательно следить за устранением уязвимостей, поскольку ИИ-функция GitHub может предлагать исправления, которые лишь частично устраняют уязвимость или не сохраняют необходимую функциональность кода.
© https://xakep.ru/2024/03/21/code-scanning-autofix/