Para ajudar a entregar um código mais seguro, a nova ferramenta baseada em IA do GitHub corrige automaticamente vulnerabilidades em código.
O GitHub introduziu um novo recurso baseado em IA capaz de acelerar as correções de vulnerabilidades durante a codificação.
Conhecido como Code Scanning Autofix e desenvolvido por GitHub Copilot e CodeQL, ele ajuda a lidar com mais de 90% dos tipos de alerta em JavaScript, Typescript, Java e Python.
IA do GitHub corrige automaticamente vulnerabilidades em código
Este recurso está em versão beta pública e habilitado automaticamente em todos os repositórios privados para clientes do GitHub Advanced Security (GHAS).
Depois de ativado, ele fornece possíveis correções que o GitHub afirma que provavelmente resolverão mais de dois terços das vulnerabilidades encontradas durante a codificação com pouca ou nenhuma edição.
“Quando uma vulnerabilidade é descoberta em uma linguagem suportada, as sugestões de correção incluirão uma explicação em linguagem natural da correção sugerida, juntamente com uma prévia da sugestão de código que o desenvolvedor pode aceitar, editar ou descartar”, disse Pierre Tempel e Eric Tooley do GitHub.
As sugestões e explicações de código fornecidas podem incluir alterações no arquivo atual, em vários arquivos e nas dependências do projeto atual.
A implementação desta abordagem pode reduzir significativamente a frequência de vulnerabilidades que as equipes de segurança devem lidar diariamente.
Isto, por sua vez, permite-lhes concentrar-se em garantir a segurança da organização, em vez de serem forçados a alocar recursos desnecessários para acompanhar as novas falhas de segurança introduzidas durante o processo de desenvolvimento.
No entanto, também é importante observar que os desenvolvedores devem sempre verificar se os problemas de segurança foram resolvidos, pois o recurso alimentado por IA do GitHub pode sugerir correções que abordam apenas parcialmente a vulnerabilidade de segurança ou não preservam a funcionalidade pretendida do código.
“A correção automática de varredura de código ajuda as organizações a retardar o crescimento dessa ‘dívida de segurança de aplicativos’, tornando mais fácil para os desenvolvedores corrigirem vulnerabilidades à medida que codificam”, acrescentaram Tempel e Tooley.
“Assim como o GitHub Copilot alivia os desenvolvedores de tarefas tediosas e repetitivas, a correção automática de verificação de código ajudará as equipes de desenvolvimento a recuperar o tempo anteriormente gasto na correção.”
A empresa planeja adicionar suporte para idiomas adicionais nos próximos meses, com suporte para C# e Go em seguida.
Mais detalhes sobre a ferramenta de correção automática de verificação de código baseada no GitHub Copilot estão disponíveis no site de documentação do GitHub.
