Разработчики GitHub представили новую ИИ-функцию, позволяющую ускорить исправление уязвимостей во время написания кода. Пока функция представлена в публичной бета-версии и автоматически включается во всех приватных репозиториях для клиентов GitHub Advanced Security (GHAS).
Функция носит название Code Scanning Autofix и работает на базе GitHub Copilot и CodeQL. По словам разработчиков, она помогает справиться с 90% предупреждений в JavaScript, Typescript, Java и Python. А в ближайшие месяцы компания планирует добавление поддержки дополнительных языков, в том числе C# и Go.
После включения новая функция предлагает возможные исправления, которые, по утверждению GitHub, помогут устранить более двух третей найденных уязвимостей, практически без редактирования.
«При обнаружении уязвимости в поддерживаемом языке, предложения по исправлению будут включать в себя объяснение предлагаемого исправления на естественном языке, а также предварительный просмотр предложенного кода, который разработчик сможет принять, отредактировать или отклонить», — рассказывают в GitHub.
Такие предложения и объяснения могут включать возможные изменения в текущем файле, нескольких файлах и зависимостях текущего проекта. Утверждается, что такой подход поможет значительно сократить количество уязвимостей, с которыми ежедневно сталкиваются специалисты по безопасности. В итоге они смогут сосредоточиться на обеспечении безопасности организации, и не будут тратить лишние ресурсы на устранение новых проблем, возникающих в процессе разработки.
«Подобно тому, как GitHub Copilot избавляет разработчиков от утомительных и повторяющихся задач, Code Scanning Autofix поможет командам вернуть время, которое ранее тратилось на устранение уязвимостей», — говорят специалисты.
При этом подчеркивается, что разработчики всегда должны внимательно следить за устранением уязвимостей, поскольку ИИ-функция GitHub может предлагать исправления, которые лишь частично устраняют уязвимость или не сохраняют необходимую функциональность кода.
