智能修复三分之二破绽!GitHub推出AI代码扫描修停工具
开源代码破绽正在成为企业面临的最风险的开发安保疑问。依据Synopsys最新发布的年度“开源安保与风险剖析”报告,96%的经过审计的代码库(涵盖17个行业)都蕴含开源软件。与此同时,84%的企业代码库所经常使用的开源软件中至少蕴含一个破绽,其中74%为高风险破绽。
近日,GitHub推出了反派性的AI代码扫描配置,可协助开发人员在编码环节中更快地修复破绽。这个名为“代码扫描智能修复”(Code Scanning Autofix)的配置目前正处于地下测试阶段,并已智能启用于一切经常使用GitHub初级安保(GHAS)的私有代码库。
“代码扫描智能修复”配置由GitHub Copilot和CodeQL独特提供,可协助修复超越90%的JavaScript、Typescript、Java和Python代码破绽预警类型。据GitHub宣称,在GihHubCopilot的协助下,开发者在编码环节中只有大批甚至无需编辑即可处置超越三分之二的已发现破绽。
在所允许的开发言语代码中发现破绽时,GitHub Copilot岂但能以人造言语给出修复倡导的解释,还能生成供开发人员驳回的代码倡导预览。
该配置提供的代码倡导和解释或许触及对文件、多个文件以及名目依赖项的更改。实施这种方法可以清楚缩小安保团队每天须要处置的破绽数量。
这反上来使安保团队能够将精神集中在确保企业的全体安保,而不是将少量资源调配给修复开发环节中引入的新安保破绽。
不过,须要留意的是,开发人员应一直验证安保疑问能否已处置,由于GitHub的人工智能配置或许会倡导仅局部修复安保破绽或影响既定代码配置的方案。
GitHub发言人指出:“代码扫描智能修复配置可协助开发人员在编码环节中第一时期修复破绽,从而缓解了‘运行安保债务’的增长。正如GitHubCopilot协助开发人员解脱繁琐重复的义务一样,代码扫描智能修复也将协助开发团队大小节俭用于破绽修复的时期。”
GitHub方案在未来几个月内允许更多开发言语,C#和Go将是接上去会允许的言语。
上个月,GitHub还为一切公共代码库自动启用了推送包全配置,以防止在推送新代码时异常暴露访问令牌和API密钥等秘密消息。
2023年,这个疑问尤为严重,当年全年经过超越300万个公共代码库,GitHub用户异常暴露了1280万个身份验证凭证和敏感秘密。正如BleepingComputer所报道的,暴露的秘密和凭证近年来已被用于屡次严重网络攻打事情。