GitHub ha introdotto una nuova funzionalità basata sull'intelligenza artificiale in grado di accelerare le correzioni delle vulnerabilità durante la codifica. Questa funzionalità è in versione beta pubblica ed è abilitata automaticamente su tutti i repository privati per i clienti GitHub Advanced Security (GHAS). Code Scanning Autofix (questo il nome del tool) è basato su GitHub Copilot e CodeQL. Inoltre, aiuta a gestire oltre il 90% dei tipi di avvisi in JavaScript, Typescript, Java e Python. Tale strumento fornisce potenziali soluzioni che secondo GitHub risolveranno probabilmente più di due terzi delle vulnerabilità rilevate durante la codifica con poche o nessuna modifica. Come dichiarato da Pierre Tempel ed Eric Tooley di GitHub: “quando viene scoperta una vulnerabilità in una lingua supportata, i suggerimenti per la correzione includeranno una spiegazione in linguaggio naturale della correzione suggerita, insieme a un'anteprima del suggerimento sul codice che lo sviluppatore può accettare, modificare o ignorare”.
GitHub: gli utenti devono sempre controllare le verifiche al codice
I suggerimenti e le spiegazioni del codice forniti possono includere modifiche al file corrente, a più file e alle dipendenze del progetto corrente. L'implementazione di questo approccio può ridurre significativamente la frequenza delle vulnerabilità che i team di sicurezza devono gestire quotidianamente. Ciò, a sua volta, consente loro di concentrarsi sulla garanzia della sicurezza dell'organizzazione anziché essere costretti ad allocare risorse non necessarie per stare al passo con le nuove falle di sicurezza introdotte durante il processo di sviluppo. Tuttavia, è anche importante notare che gli sviluppatori dovrebbero sempre verificare se i problemi di sicurezza sono stati risolti. La funzionalità basata sull'intelligenza artificiale di GitHub potrebbe suggerire correzioni che risolvono solo parzialmente la vulnerabilità di sicurezza o non riescono a preservare la funzionalità del codice prevista.
Nei prossimi mesi, l'azienda prevede di aggiungere il supporto per ulteriori linguaggi, con il supporto per C# e Go in arrivo. Ulteriori dettagli sullo strumento di correzione automatica della scansione del codice basato su GitHub Copilot sono disponibili sul sito web ufficiale della documentazione di GitHub.