Mjeti më i fundit i AI i GitHub mund të rregullojë automatikisht dobësitë e kodit
Më herët sot, Sentry njoftoi veçorinë e tij Autofix AI për korrigjimin e kodit të prodhimit dhe tani, disa orë më vonë, GitHub po lançon beta-në e parë të veçorisë së tij të skanimit automatik të kodit për gjetjen dhe rregullimin e dobësive të sigurisë gjatë procesit të kodimit. Kjo veçori e re kombinon aftësitë në kohë reale të Copilot të GitHub me CodeQL, motori i analizës së kodit semantik të kompanisë. Kompania e parashikoi për herë të parë këtë aftësi nëntorin e kaluar.
GitHub premton se ky sistem i ri mund të korrigjojë më shumë se dy të tretat e dobësive që gjen – shpesh pa pasur nevojë që zhvilluesit të modifikojnë vetë ndonjë kod. Kompania gjithashtu premton se skanimi automatik i kodit do të mbulojë më shumë se 90% të llojeve të alarmeve në gjuhët që ajo mbështet, të cilat aktualisht janë JavaScript, Typescript, Java dhe Python.
Ky funksion i ri është tani i disponueshëm për të gjithë klientët e GitHub Advanced Security (GHAS).
“Ashtu si GitHub Copilot i lehtëson zhvilluesit nga detyrat e lodhshme dhe të përsëritura, rregullimi automatik i skanimit të kodit do të ndihmojë ekipet e zhvillimit të rimarrin kohën e shpenzuar më parë për riparime,” shkruan GitHub në njoftimin e sotëm. “Ekipet e sigurisë do të përfitojnë gjithashtu nga një volum i reduktuar i dobësive të përditshme, kështu që ata mund të fokusohen në strategjitë për të mbrojtur biznesin duke mbajtur një ritëm të përshpejtuar të zhvillimit.”
Në sfond, kjo veçori e re përdor motorin CodeQL , motorin e analizës semantike të GitHub për të gjetur dobësitë në kod, edhe para se të ekzekutohet. Kompania vuri në dispozicion të publikut gjeneratën e parë të CodeQL në fund të 2019-ës pasi bleu startup-in e analizës së kodit Semmle , ku u inkubua CodeQL. Me kalimin e viteve, ai bëri një sërë përmirësimesh në CodeQL, por një gjë që nuk ndryshoi kurrë ishte se CodeQL ishte i disponueshëm falas vetëm për studiuesit dhe zhvilluesit me burim të hapur.
Tani CodeQL është në qendër të këtij mjeti të ri, megjithëse GitHub gjithashtu vë në dukje se ai përdor “një kombinim të heuristikave dhe API-ve të GitHub Copilot” për të sugjeruar rregullimet e tij. Për të gjeneruar rregullimet dhe shpjegimet e tyre, GitHub përdor modelin GPT-4 të OpenAI. Dhe ndërsa GitHub është qartësisht mjaft i sigurt për të sugjeruar se shumica dërrmuese e sugjerimeve të fiksimit automatik do të jenë të sakta, kompania vëren se “një përqindje e vogël e rregullimeve të sugjeruara do të pasqyrojë një keqkuptim të rëndësishëm të bazës së kodit ose dobësisë”.