A Inteligência Artificial (IA) tem revolucionado diversos setores, incluindo o desenvolvimento de software e a segurança do código. O GitHub Advanced Security, uma plataforma que já lançou mais de 70 mecanismos para aprimorar os testes de segurança de aplicativos e a cadeia de suprimentos de software, está na vanguarda dessa transformação. Recentemente, o GitHub anunciou a prévia de três novas funcionalidades impulsionadas por IA, que prometem melhorar ainda mais a visão geral de segurança.
Recursos importantes do GitHub Advanced Security
Uma das inovações é a correção automática de escaneamento de código, que promete aumentar a produtividade e garantir um código mais seguro. Utilizando a tecnologia do mecanismo de análise estática CodeQL do GitHub, essa solução foi projetada para ajudar os desenvolvedores a corrigir problemas rapidamente, enviando correções geradas por IA para alertas de CodeQL, JavaScript e TypeScript diretamente em pull requests.
Após a análise do CodeQL, o GitHub consulta um LLM (Grande Modelo de Linguagem) avançado para correções de quaisquer novos alertas. Essas sugestões de correção geradas por IA são enviadas como sugestões de código nas guias “Conversation” (Conversa) e “Files Changed” (Arquivos alterados) do pull request, permitindo que os desenvolvedores visualizem e aceitem as alterações recomendadas e até mesmo editem as correções antes de fazer o merge à base de código.
Outra melhoria significativa é a detecção de senhas vazadas com o escaneamento de credenciais. A última geração de LLMs, impulsionada por IA, permite encontrar senhas com menos falsos positivos do que os métodos tradicionais. Assim, o material detectado é exibido em uma guia separada, onde gerentes de segurança e proprietários de repositórios podem visualizar os alertas sobre uma senha vazada e possivelmente ativa. Atualmente, o escaneamento de credenciais está disponível apenas na versão beta pública limitada.
Gerador de expressões regulares
O último novo recurso é o gerador de expressões regulares para padrões personalizados. Escrever expressões regulares pode ser complexo devido aos muitos parâmetros e nuances envolvidos. Para resolver esse problema, o GitHub agora inclui uma experiência baseada em IA para a criação de padrões personalizados. Por meio de um formulário, basta responder algumas perguntas simples para gerar automaticamente padrões personalizados na forma de expressões regulares. Esse novo recurso permite que os desenvolvedores executem testes em tempo real para garantir o escaneamento adequado antes de salvar o padrão recém-criado.
Melhorias e mais…
Além das novas funcionalidades, o GitHub também fez melhorias no novo painel da visão geral de segurança, permitindo que gerentes e administradores de segurança tenham acesso a análises de tendências históricas para alertas de segurança no GitHub. Isso auxilia no entendimento da postura de segurança de cada organização por meio das lentes de risco, remediação e prevenção:
- Risco: Mostra as descobertas de segurança em seus repositórios, bem como onde há aumentos ou reduções nas descobertas e suas categorias.
- Remediação: Ajuda a entender a eficácia das práticas de correção. Por exemplo, quantas constatações de segurança foram fechadas e o tempo médio geral de correção de sua organização.
- Prevenção: Oferece uma visão clara de onde os problemas de segurança são evitados por meio de recursos como o push protection.
As novidades ajudarão pessoas desenvolvedoras e equipes de segurança a colaborar de forma mais eficaz para encontrar e corrigir issues de segurança onde já trabalham, tudo dentro do GitHub. “Essas atualizações não apenas economizam um tempo incrível de trabalho, mas também ajudam a obter a cobertura necessária para garantir a segurança de credenciais. Com a IA, temos o potencial de revolucionar a criação de aplicativos seguros desde o início e transformar a definição tradicional de testes ‘Shift-left’”, afirma Asha Chakrabarty, Vice-Presidente de Gerenciamento de Produtos do GitHub.