GitHub предлагает автоматическое исправление уязвимостей в коде с помощью ИИ

GitHub запустил первую бета-версию функции автоматического исправления для поиска и устранения уязвимостей во время написания кода. Эта новая функция в реальном времени объединяет возможности Copilot от GitHub с CodeQL, движком семантического анализа. Впервые компания представила эту возможность в ноябре прошлого года.

GitHub обещает, что новая система способна устранить более двух третей найденных уязвимостей, причем зачастую разработчикам не приходится самостоятельно редактировать код. Компания также обещает, что автоисправление при сканировании кода будет охватывать более 90% типов предупреждений в поддерживаемых ею языках, которые в настоящее время включают JavaScript, Typescript, Java и Python.

Теперь эта новая функция доступна для всех клиентов GitHub Advanced Security (GHAS).

«Подобно тому, как GitHub Copilot освобождает разработчиков от утомительных и повторяющихся задач, автоисправление с помощью сканирования кода поможет командам разработчиков вернуть время, которое раньше тратилось на исправление ошибок», — пишет GitHub в сообщении. «Команды безопасности также выиграют от сокращения объема повседневных уязвимостей, что позволит им сосредоточиться на стратегиях защиты бизнеса, не отставая при этом от ускоренного темпа разработки».

В фоновом режиме новая функция использует движок CodeQL, механизм семантического анализа GitHub, для поиска уязвимостей в коде еще до его выполнения. Компания сделала первое поколение CodeQL общедоступным в конце 2019 года после приобретения стартапа Semmle, занимавшегося анализом кода, где CodeQL и был разработан. За прошедшие годы компания внесла ряд улучшений в CodeQL, но неизменным оставалось одно: CodeQL был доступен бесплатно только для исследователей и разработчиков открытого кода.

Теперь CodeQL находится в центре этого нового инструмента, хотя GitHub также отмечает, что он использует «сочетание эвристики и GitHub Copilot API», чтобы предложить свои исправления. Для генерации исправлений и их объяснений GitHub использует модель GPT-4 от OpenAI. И хотя GitHub достаточно уверен в себе, чтобы утверждать, что подавляющее большинство предложений по автоисправлению будут верными, компания все же отмечает, что «небольшой процент предложенных исправлений будет отражать значительное непонимание кодовой базы или уязвимости».