O GitHub acaba de introduzir um novo recurso baseado em IA capaz de acelerar as correções de vulnerabilidades durante a codificação. Este recurso está em versão beta pública e habilitado automaticamente em todos os repositórios privados para clientes do GitHub Advanced Security (GHAS).
Nova ferramenta de IA do GitHub
Conhecido como Code Scanning Autofix e desenvolvido por GitHub Copilot e CodeQL, ele ajuda a lidar com mais de 90% dos tipos de alerta em JavaScript, Typescript, Java e Python. Depois de ativado, ele fornece possíveis correções que o GitHub afirma que provavelmente resolverão mais de dois terços das vulnerabilidades encontradas durante a codificação com pouca ou nenhuma edição.
Quando uma vulnerabilidade é descoberta em uma linguagem suportada, as sugestões de correção incluirão uma explicação em linguagem natural da correção sugerida, juntamente com uma prévia da sugestão de código que o desenvolvedor pode aceitar, editar ou descartar.
As sugestões e explicações de código fornecidas podem incluir alterações no arquivo atual, em vários arquivos e nas dependências do projeto atual. A implementação desta abordagem pode reduzir significativamente a frequência de vulnerabilidades que as equipes de segurança devem lidar diariamente.
Isto, por sua vez, permite-lhes concentrar-se em garantir a segurança da organização, em vez de serem forçados a alocar recursos desnecessários para acompanhar as novas falhas de segurança introduzidas durante o processo de desenvolvimento. No entanto, também é importante observar que os desenvolvedores devem sempre verificar se os problemas de segurança foram resolvidos, pois o recurso alimentado por IA do GitHub pode sugerir correções que abordam apenas parcialmente a vulnerabilidade de segurança ou não preservam a funcionalidade pretendida do código.
Correção automática de código
A correção automática de varredura de código ajuda as organizações a retardar o crescimento dessa “dívida de segurança de aplicativos”, tornando mais fácil para os desenvolvedores corrigirem vulnerabilidades à medida que codificam.
Assim como o GitHub Copilot alivia os desenvolvedores de tarefas tediosas e repetitivas, a correção automática de verificação de código ajudará as equipes de desenvolvimento a recuperar o tempo anteriormente gasto na correção.
Tempel e Tooley
A empresa planeja adicionar suporte para idiomas adicionais nos próximos meses, com suporte para C# e Go em seguida. Mais detalhes sobre a ferramenta de correção automática de verificação de código baseada no GitHub Copilot estão disponíveis no site de documentação do GitHub.
No mês passado, a empresa também habilitou a proteção push por padrão para todos os repositórios públicos para impedir a exposição acidental de segredos como tokens de acesso e chaves de API ao enviar novo código.