GitHub introdujo una nueva función impulsada por IA capaz de acelerar la corrección de vulnerabilidades durante la codificación. Esta función está en versión beta pública y se habilita automáticamente en todos los repositorios privados para los clientes de GitHub Advanced Security (GHAS).
Conocido como Code Scanning Autofix y desarrollado por GitHub Copilot y CodeQL, ayuda a manejar más del 90% de los tipos de alertas en JavaScript, Typecript, Java y Python.
Después de activarlo, proporciona posibles soluciones que, según GitHub, probablemente abordarán más de dos tercios de las vulnerabilidades encontradas mientras se codifica con poca o ninguna edición.
“Cuando se descubre una vulnerabilidad en un idioma compatible, las sugerencias de solución incluirán una explicación en lenguaje natural de la solución sugerida, junto con una vista previa de la sugerencia de código que el desarrollador puede aceptar, editar o descartar”, Pierre Tempel y Eric Tooley de GitHub. dicho.
Las sugerencias de código y explicaciones que proporciona pueden incluir cambios en el archivo actual, varios archivos y las dependencias del proyecto actual.
La implementación de este enfoque puede reducir significativamente la frecuencia de las vulnerabilidades que los equipos de seguridad deben manejar a diario.
Esto, a su vez, les permite concentrarse en garantizar la seguridad de la organización en lugar de verse obligados a asignar recursos innecesarios para mantenerse al día con las nuevas fallas de seguridad introducidas durante el proceso de desarrollo.
Sin embargo, también es importante tener en cuenta que los desarrolladores siempre deben verificar si los problemas de seguridad están resueltos, ya que la función impulsada por IA de GitHub puede sugerir correcciones que solo abordan parcialmente la vulnerabilidad de seguridad o no preservan la funcionalidad del código deseada.
“La reparación automática del escaneo de código ayuda a las organizaciones a frenar el crecimiento de esta” deuda de seguridad de las aplicaciones “al facilitar a los desarrolladores corregir las vulnerabilidades mientras codifican”, agregaron Tempel y Tooley.
“Así como GitHub Copilot libera a los desarrolladores de tareas tediosas y repetitivas, la corrección automática del escaneo de código ayudará a los equipos de desarrollo a recuperar el tiempo que antes se dedicaba a la corrección”.