GitHub ha annunciato che la sua funzione di correzione automatica della scansione del codice, basata su GitHub Copilot e CodeQL, è ora disponibile in beta pubblica per tutti i clienti di GitHub Advanced Security.
Lo strumento di autofix mira a correggere oltre due terzi delle vulnerabilità trovate durante la scansione del codice con una modifica minima da parte degli sviluppatori.
“La nostra visione della sicurezza delle applicazioni è un ambiente in cui trovato significa risolto”, ha dichiarato GitHub in un post sul blog. Dando priorità all’esperienza degli sviluppatori in GitHub Advanced Security, aiutiamo già i team a rimediare 7 volte più velocemente rispetto agli strumenti di sicurezza tradizionali”. L’autofix con scansione del codice è il prossimo salto di qualità, che aiuterà gli sviluppatori a ridurre drasticamente il tempo e l’impegno spesi per la bonifica”.
Lo strumento supporta attualmente JavaScript, TypeScript, Java e Python, coprendo oltre il 90% dei tipi di avviso in questi linguaggi. GitHub prevede di aggiungere il supporto per C# e Go.
Quando viene rilevata una vulnerabilità, la scansione automatica del codice fornisce una spiegazione del problema e un suggerimento di codice per porvi rimedio. Gli sviluppatori possono accettare, modificare o rifiutare la correzione suggerita. I suggerimenti dell’intelligenza artificiale possono includere modifiche a più file e dipendenze.
“Anche se le applicazioni rimangono uno dei principali vettori di attacco, la maggior parte delle organizzazioni ammette un numero sempre crescente di vulnerabilità non corrette che esistono nei repository di produzione”, ha dichiarato GitHub. La scansione automatica del codice aiuta le organizzazioni a rallentare la crescita di questo “debito di sicurezza delle applicazioni”, rendendo più facile per gli sviluppatori correggere le vulnerabilità mentre scrivono il codice”.
GitHub ritiene che lo strumento sia vantaggioso per i team di sviluppo, in quanto permette di risparmiare tempo sulle attività di correzione, consentendo loro di concentrarsi su altre priorità. Anche i team che si occupano di sicurezza dovrebbero vedere ridursi il volume delle vulnerabilità di routine, liberando risorse per concentrarsi sulle strategie di protezione dell’azienda in un contesto di sviluppo accelerato.
Dietro le quinte, la scansione automatica del codice sfrutta il motore CodeQL insieme all’euristica e alle API di GitHub Copilot per generare suggerimenti sul codice. GitHub ha pubblicato ampie risorse che descrivono in dettaglio l’architettura del sistema, il flusso dei dati e le politiche di intelligenza artificiale che regolano lo strumento.
Le organizzazioni nuove a GitHub o che non hanno ancora GitHub Advanced Security possono contattare l’azienda per richiedere una demo e impostare una prova gratuita della scansione automatica del codice.