Es ist ein schlechter Tag für Käfer. Sentry hat heute seine AI-Autofix-Funktion zum Debuggen von Produktionscode angekündigt und jetzt, ein paar Stunden später, startet GitHub die erste Beta seiner Autofix-Funktion zum Code-Scanning zum Auffinden und Beheben von Sicherheitslücken während des Codierungsprozesses. Diese neue Funktion kombiniert die Echtzeitfähigkeiten von GitHubs Copilot mit CodeQL, die semantische Code-Analyse-Engine des Unternehmens. Das Unternehmen stellte diese Funktion erstmals im vergangenen November vor.
GitHub verspricht, dass dieses neue System mehr als zwei Drittel der gefundenen Schwachstellen beheben kann – oft ohne, dass die Entwickler selbst Code bearbeiten müssen. Das Unternehmen verspricht außerdem, dass die Code-Scan-Autofix-Funktion mehr als 90 % der Alarmtypen in den unterstützten Sprachen abdeckt, derzeit JavaScript, Typescript, Java und Python.
Diese neue Funktion ist jetzt für alle verfügbar GitHub Erweiterte Sicherheit (GHAS) Kunden.
Automatische Fehlerbehebung beim Code-Scannen in GitHub Copilot.
„Genauso wie GitHub Copilot entlastet Entwickler von mühsamen und sich wiederholenden Aufgaben, die automatische Korrektur des Code-Scans wird Entwicklungsteams dabei helfen, die Zeit zurückzugewinnen, die sie zuvor für die Behebung aufgewendet haben“, schreibt GitHub in der heutigen Ankündigung. „Sicherheitsteams profitieren außerdem von einer geringeren Menge alltäglicher Schwachstellen, sodass sie sich auf Strategien zum Schutz des Unternehmens konzentrieren und gleichzeitig mit dem beschleunigten Entwicklungstempo Schritt halten können.“
Bildnachweis: GitHub
Im Hintergrund nutzt diese neue Funktion die CodeQL-Engine, GitHubs semantische Analyse-Engine, um Schwachstellen im Code zu finden, noch bevor dieser ausgeführt wurde. Das Unternehmen stellte Ende 2019 eine erste Generation von CodeQL der Öffentlichkeit zur Verfügung, nachdem es das Codeanalyse-Startup Semmle übernommen hatte, in dem CodeQL gegründet wurde. Im Laufe der Jahre wurden zahlreiche Verbesserungen an CodeQL vorgenommen. Was sich jedoch nie änderte, war, dass CodeQL nur für Forscher und Open-Source-Entwickler kostenlos verfügbar war.
Jetzt steht CodeQL im Mittelpunkt dieses neuen Tools, obwohl GitHub auch anmerkt, dass es „eine Kombination aus Heuristiken und“ verwendet GitHub Copilot APIs“, um Korrekturen vorzuschlagen. Zu generieren Für die Korrekturen und ihre Erklärungen verwendet GitHub das GPT-4-Modell von OpenAI. Und während GitHub eindeutig zuversichtlich genug ist, anzunehmen, dass die überwiegende Mehrheit der Autofix-Vorschläge korrekt sein werden, geht das Unternehmen nicht davon aus, dass „ein kleiner Prozentsatz der vorgeschlagenen Fixes ein erhebliches Missverständnis der Codebasis oder der Schwachstelle widerspiegelt“.