GitHub делает свой инструмент на основе искусственного интеллекта Copilot Autofix общедоступным – он помогает разработчикам искать и устранять уязвимости в коде. Об этом компания сообщила в своем блоге.
GitHub запустил этот инструмент в бета-тесте еще в марте 2024 года, и с мая по июль собирал о нем отзывы от программистов, которые отметили, что он отличается от других инструментов сканирования кода. Не только может найти уязвимости, но и объяснить их и помочь исправить.
Copilot Autofix может генерировать исправления для десятков классов уязвимостей, таких как SQL-инъекции или межсайтовый скриптинг, а разработчик затем сможет выбрать: отклонить их, отредактировать или утвердить и включить в свой Pull Request.
Для поиска уязвимостей и генерации поправок Copilot Autofix использует CodeQL engine, GPT-4o, комбинацию эвристик и GitHub Copilot API.
GitHub ссылается на отзывы разработчиков и говорит, что с их ИИ-инструментом работа по безопасности кода становится значительно более быстрой и производительной. Утверждается, что в среднем разработчикам потребовалось 28 минут, чтобы автоматически исправить проблему с использованием Copilot Autofix, тогда как на ручное исправление такой же проблемы уходит 1,5 часа.
Для исправления уязвимостей типа межсайтового скриптинга потребовалось 22 минуты, тогда как вручную это занимает почти 3 часа.
исправление уязвимостей типа SQL-инъекция заняло 18 минут по сравнению с 3,7 часами ручной исправления.
Разработчики могут включить Copilot Autofix для исправления ошибок в коде, нажав «Сгенерировать исправление» при получении предупреждения о сканировании кода GHAS, а затем нажать «Создать PR с исправлением», чтобы создать новый запрос, содержащий необходимые изменения в коде.
С сентября Copilot Autofix станет бесплатным для всех проектов с открытым кодом.
по материалам
уникальность
