É um dia ruim para insetos. Hoje cedo, Sentry anunciou seu recurso AI Autofix para depuração de código de produção e agora, algumas horas depois, o GitHub está lançando a primeira versão beta de seu recurso autofix de verificação de código para encontrar e corrigir vulnerabilidades de segurança durante o processo de codificação. Este novo recurso combina os recursos em tempo real do Copilot do GitHub com CódigoQL, o mecanismo de análise de código semântico da empresa. A empresa primeiro visualizado esta capacidade em novembro passado.
O GitHub promete que este novo sistema pode remediar mais de dois terços das vulnerabilidades que encontrar – muitas vezes sem que os próprios desenvolvedores tenham que editar qualquer código. A empresa também promete que a correção automática de verificação de código cobrirá mais de 90% dos tipos de alerta nas linguagens que suporta, que atualmente são JavaScript, Typescript, Java e Python.
Este novo recurso já está disponível para todos GitHub Segurança Avançada (GHAS) clientes.
Correção automática de verificação de código no GitHub Copilot. Créditos da imagem: GitHub
“Assim como GitHub O Copilot alivia os desenvolvedores de tarefas tediosas e repetitivas, a correção automática de verificação de código ajudará as equipes de desenvolvimento a recuperar o tempo gasto anteriormente na correção”, escreve o GitHub no anúncio de hoje. “As equipes de segurança também se beneficiarão de um volume reduzido de vulnerabilidades diárias, para que possam se concentrar em estratégias para proteger os negócios e, ao mesmo tempo, acompanhar um ritmo acelerado de desenvolvimento.”
Créditos da imagem: GitHub
Em segundo plano, esse novo recurso usa o Mecanismo CodeQL, o mecanismo de análise semântica do GitHub para encontrar vulnerabilidades no código, mesmo antes de ele ser executado. A empresa disponibilizou uma primeira geração do CodeQL ao público no final de 2019, depois de adquiriu a startup de análise de código Semmle, onde CodeQL foi incubado. Ao longo dos anos, ele fez uma série de melhorias no CodeQL, mas uma coisa que nunca mudou foi que o CodeQL só estava disponível gratuitamente para pesquisadores e desenvolvedores de código aberto.
Agora CodeQL está no centro desta nova ferramenta, embora o GitHub também observe que ela usa “uma combinação de heurística e GitHub APIs Copilot” para sugerir suas correções. Para gerar as correções e suas explicações, o GitHub usa o modelo GPT-4 da OpenAI. E embora o GitHub esteja claramente confiante o suficiente para sugerir que a grande maioria das sugestões de correção automática estará correta, a empresa observa que “uma pequena porcentagem das correções sugeridas refletirá um mal-entendido significativo da base de código ou da vulnerabilidade”.
