GitHub, het codehostingplatform van Microsoft, heeft woensdag aangekondigd dat de autofix voor het scannen van codes nu beschikbaar is in de openbare bètaversie voor alle GitHub Advanced Security (GHAS)-klanten.
show
GitHub lanceert AI-aangedreven autofix voor het scannen van codes
Deze AI-aangedreven foutopsporingstool wordt mogelijk gemaakt door GitHub Copilot en CodeQL en dekt meer dan 90% van de waarschuwingstypen in JavaScript, Typescript, Java en Python.
Het bevat ook codesuggesties om meer dan tweederde van de gevonden kwetsbaarheden met weinig of geen bewerking te herstellen, waardoor ontwikkelaars de tijd en moeite die aan herstel worden besteed drastisch kunnen verminderen.
“Onze visie op applicatiebeveiliging is een omgeving waarin gevonden middelen vaststaan. Door prioriteit te geven aan de ontwikkelaarservaring in GitHub Advanced Security, helpen we teams al 7x sneller te herstellen dan traditionele beveiligingstools”, aldus GitHub’s Pierre Tempel en Eric Tooley schreef in de aankondiging van woensdag.
“Hoewel applicaties een belangrijke aanvalsvector blijven, geven de meeste organisaties toe dat er een steeds groeiend aantal niet-opgeloste kwetsbaarheden bestaat in productierepository’s.”
Volgens het bedrijf helpt autofix bij het scannen van codes organisaties de groei van deze ‘applicatiebeveiligingsschuld’ te vertragen door het voor ontwikkelaars gemakkelijker te maken om kwetsbaarheden op te lossen terwijl ze coderen.
“Net zoals GitHub Copilot ontwikkelaars verlost van vervelende en repetitieve taken, zal autofix voor het scannen van codes ontwikkelingsteams helpen de tijd terug te winnen die voorheen aan herstel werd besteed”, aldus de aankondiging.
“Beveiligingsteams zullen ook profiteren van een kleiner aantal dagelijkse kwetsbaarheden, zodat ze zich kunnen concentreren op strategieën om het bedrijf te beschermen en tegelijkertijd het versnelde ontwikkelingstempo kunnen bijhouden.”
Hoe het werkt
Wanneer een kwetsbaarheid in een ondersteunde taal wordt geïdentificeerd, bevatten de suggesties voor oplossingen een uitleg in natuurlijke taal van de voorgestelde oplossing, evenals voorbeelden van de codesuggesties die de ontwikkelaars kunnen accepteren, bewerken of afwijzen.
De codesuggesties kunnen ook wijzigingen in het huidige bestand, wijzigingen in meerdere bestanden en de afhankelijkheden die aan het project moeten worden toegevoegd, omvatten. Bovendien maakt de autofix voor het scannen van codes gebruik van de CodeQL-engine en een combinatie van heuristieken en GitHub Copilot API’s om codesuggesties te genereren.
GitHub is van plan om de komende maanden ondersteuning toe te voegen voor extra programmeertalen, waaronder C# en Go, voor het automatisch scannen van codes.
Voor meer informatie over de door GitHub Copilot aangedreven autofix-tool voor het scannen van codes, kunt u terecht op GitHub’s documentatiewebsite.