A Sentry anunciou uma funcionalidade chamada "AI Autofix" para depurar código de produção, algumas horas depois, o GitHub lançou a primeira versão beta de sua funcionalidade de autofix de escaneamento de código para encontrar e corrigir vulnerabilidades de segurança durante o processo de codificação. Esta nova funcionalidade combina as capacidades em tempo real do GitHub's Copilot com o CodeQL, o mecanismo de análise de código semântico da empresa.
A empresa apresentou pela primeira vez essa funcionalidade em novembro do ano passado. O GitHub promete que este novo sistema pode corrigir mais de dois terços das vulnerabilidades que encontra - muitas vezes sem os desenvolvedores terem que editar qualquer código.
A empresa também promete que o autofix de escaneamento de código cobrirá mais de 90% dos tipos de alerta nas linguagens que suporta, que atualmente são JavaScript, Typescript, Java e Python. Esta nova funcionalidade agora está disponível para todos os clientes do GitHub Advanced Security (GHAS).
Segundo o anúncio publicado pelo GitHub - "Assim como o GitHub Copilot alivia os desenvolvedores de tarefas tediosas e repetitivas, o autofix de escaneamento de código ajudará as equipes de desenvolvimento a otimizar o tempo anteriormente gasto na remediação".
"As equipes de segurança também serão beneficiadas com essa tecnologia, diminuindo drasticamente o número de vulnerabilidades mais comumente conhecidas, para poderem se concentrar em estratégias para proteger o negócio enquanto acompanham um ritmo acelerado de desenvolvimento.
"Nos bastidores, esta nova funcionalidade usa o mecanismo CodeQL, o mecanismo de análise semântica do GitHub, para encontrar vulnerabilidades no código, mesmo antes de ser executado.
A empresa disponibilizou uma primeira geração de CodeQL para o público no final de 2019, após adquirir a startup de análise de código Semmle, onde o CodeQL foi incubado. Ao longo dos anos, fez várias melhorias no CodeQL, mas uma coisa que nunca mudou foi que o CodeQL estava disponível apenas gratuitamente para pesquisadores e desenvolvedores de código aberto.
Agora o CodeQL está no centro desta nova ferramenta, embora o GitHub também observe que usa "uma combinação de heurísticas e APIs do GitHub Copilot" para sugerir suas correções. Para gerar as correções e suas explicações, o GitHub usa o modelo GPT-4 da OpenAI.
E embora o GitHub esteja claramente confiante o suficiente para sugerir que a grande maioria das sugestões de autofix será correta, a empresa observa que "uma pequena porcentagem de correções sugeridas refletirá uma compreensão significativamente equivocada do código-fonte ou da vulnerabilidade".
Via - Tech Crunch
Comments