روز بدی برای حشرات است. اوایل امروز، Sentry ویژگی AI Autofix خود را برای اشکال زدایی کد تولید اعلام کرد و اکنون، چند ساعت بعد، GitHub اولین نسخه بتا از ویژگی رفع خودکار اسکن کد خود را برای یافتن و رفع آسیب‌پذیری‌های امنیتی در طول فرآیند کدنویسی راه‌اندازی می‌کند. این ویژگی جدید قابلیت‌های بی‌درنگ Copilot GitHub را با CodeQL، موتور تحلیل کد معنایی شرکت ترکیب می‌کند. این شرکت برای اولین بار در نوامبر گذشته پیش نمایش این قابلیت را داشت.

GitHub قول داده است که این سیستم جدید می تواند بیش از دو سوم آسیب پذیری هایی را که پیدا کرده اصلاح کند - اغلب بدون اینکه توسعه دهندگان مجبور باشند هیچ کدی را خودشان ویرایش کنند. این شرکت همچنین قول داده است که تصحیح خودکار اسکن کد بیش از 90 درصد از انواع هشدارها را در زبان هایی که پشتیبانی می کند، که در حال حاضر جاوا اسکریپت، تایپ اسکریپت، جاوا و پایتون هستند، پوشش می دهد.

این ویژگی جدید اکنون برای همه مشتریان امنیت پیشرفته GitHub (GHAS) در دسترس است.

رفع خودکار اسکن کد در GitHub Copilot.

GitHub در اطلاعیه امروز می‌نویسد: «همانطور که GitHub Copilot توسعه‌دهندگان را از کارهای خسته‌کننده و تکراری خلاص می‌کند، رفع خودکار اسکن کد به تیم‌های توسعه کمک می‌کند تا زمانی را که قبلاً برای بازسازی صرف می‌کردند، پس بگیرند. تیم‌های امنیتی همچنین از حجم کمتری از آسیب‌پذیری‌های روزمره بهره‌مند خواهند شد، پس می‌توانند روی استراتژی‌هایی برای محافظت از کسب‌وکار تمرکز کنند و در عین حال سرعت توسعه را تسریع کنند.»

اعتبار تصویر: GitHub

در پس‌زمینه، این ویژگی جدید از موتور CodeQL، موتور تحلیل معنایی GitHub برای یافتن آسیب‌پذیری‌ها در کد، حتی قبل از اجرای آن استفاده می‌کند. این شرکت اولین نسل از CodeQL را در اواخر سال 2019 پس از خرید استارتاپ تجزیه و تحلیل کد Semmle، جایی که CodeQL انکوبه شده بود، در دسترس عموم قرار داد. در طول سال‌ها، تعدادی بهبود در CodeQL ایجاد کرد، اما چیزی که هرگز تغییر نکرد این بود که CodeQL فقط برای محققان و توسعه‌دهندگان متن باز به صورت رایگان در دسترس بود.

اکنون، CodeQL در مرکز این ابزار جدید قرار دارد، اگرچه GitHub همچنین اشاره می کند که از "ترکیبی از اکتشافی و API های Copilot GitHub " برای پیشنهاد اصلاحات استفاده می کند. برای ایجاد اصلاحات و توضیحات آنها، GitHub از مدل GPT-4 OpenAI استفاده می کند. و در حالی که GitHub به وضوح به اندازه کافی مطمئن است که نشان دهد اکثریت قریب به اتفاق پیشنهادات رفع خودکار درست خواهند بود، این شرکت ن او میگوید که «درصد کمی از اصلاحات پیشنهادی منعکس کننده سوء تفاهم قابل توجهی از پایگاه کد یا آسیب‌پذیری است».

خبرکاو