GitHub hat eine neue KI-basierte Funktion vorgestellt, die das Beheben von Sicherheitslücken während des Codierens beschleunigen kann. Dieses Feature, bekannt als Code Scanning Autofix, befindet sich derzeit in der öffentlichen Beta und ist automatisch in allen privaten Repositories für Kunden von GitHub Advanced Security (GHAS) aktiviert.
Basierend auf GitHub Copilot und CodeQL kann dieses Tool mit mehr als 90% der Warnungstypen in JavaScript, TypeScript, Java und Python umgehen. Nach der Aktivierung bietet es potenzielle Lösungen, die laut GitHub mehr als zwei Drittel der gefundenen Sicherheitslücken beim Codieren mit wenig oder keiner Bearbeitung adressieren könnten.
„Bei der Entdeckung einer Sicherheitslücke in einer unterstützten Sprache beinhalten die Fix-Vorschläge eine natürliche Spracherklärung des vorgeschlagenen Fixes sowie eine Vorschau der Code-Änderung, die der Entwickler akzeptieren, bearbeiten oder ablehnen kann“, erklärten Pierre Tempel und Eric Tooley von GitHub.
Die vorgeschlagenen Code-Änderungen und Erläuterungen können Änderungen an der aktuellen Datei, mehreren Dateien und den Abhängigkeiten des aktuellen Projekts umfassen.
Die Implementierung dieses Ansatzes kann die Häufigkeit von Sicherheitslücken, mit denen Sicherheitsteams täglich umgehen müssen, erheblich reduzieren. Dies ermöglicht es ihnen, sich auf die Sicherstellung der Sicherheit der Organisation zu konzentrieren, anstatt unnötige Ressourcen für die Behebung neuer Sicherheitslücken während des Entwicklungsprozesses aufwenden zu müssen.
Entwickler sollten jedoch immer überprüfen, ob die Sicherheitsprobleme behoben sind, da das KI-gestützte Feature von GitHub Lösungen vorschlagen könnte, die die Sicherheitslücke nur teilweise adressieren oder die beabsichtigte Funktionalität des Codes nicht bewahren.
„Code Scanning Autofix hilft Organisationen, das Wachstum dieser ‚Anwendungssicherheitsschulden‘ zu verlangsamen, indem es Entwicklern erleichtert wird, Sicherheitslücken während des Codierens zu beheben“, fügten Tempel und Tooley hinzu.
GitHub plant, in den kommenden Monaten Unterstützung für weitere Sprachen hinzuzufügen, wobei als nächstes Unterstützung für C# und Go folgen wird.
Weitere Details zum GitHub Copilot-gestützten Code Scanning Autofix-Tool finden Sie auf der Dokumentationswebsite von GitHub.
Letzten Monat aktivierte das Unternehmen auch standardmäßig den Push-Schutz für alle öffentlichen Repositories, um die versehentliche Offenlegung von Geheimnissen wie Zugriffstoken und API-Schlüsseln beim Pushen neuer Codes zu verhindern.
