O GitHub introduziu um novo recurso alimentado por IA capaz de acelerar as correções de vulnerabilidades enquanto se programa.
Este recurso está em beta público e está automaticamente habilitado em todos os repositórios privados para os clientes do GitHub Advanced Security (GHAS).
Conhecido como Code Scanning Autofix e alimentado pelo GitHub Copilot e CodeQL, ele ajuda a lidar com mais de 90% dos tipos de alertas em JavaScript, Typescript, Java e Python.
Depois de ser ativado, ele fornece correções potenciais que, segundo o GitHub, provavelmente abordarão mais de dois terços das vulnerabilidades encontradas durante a programação com pouca ou nenhuma edição.
"Quando uma vulnerabilidade é descoberta numa linguagem suportada, as sugestões de correção irão incluir uma explicação em linguagem natural da correção sugerida, juntamente com uma pré-visualização da sugestão de código que o desenvolvedor pode aceitar, editar ou descartar," disseram Pierre Tempel e Eric Tooley do GitHub.
As sugestões de código e as explicações que ele fornece podem incluir alterações no arquivo atual, em vários arquivos e nas dependências do projeto atual.
A implementação desta abordagem pode reduzir significativamente a frequência de vulnerabilidades que as equipes de segurança devem lidar diariamente.
Isso, por sua vez, permite que se concentrem em garantir a segurança da organização em vez de serem forçados a alocar recursos desnecessários para acompanhar as novas falhas de segurança introduzidas durante o processo de desenvolvimento.
No entanto, também é importante notar que os desenvolvedores devem sempre verificar se os problemas de segurança são resolvidos, pois o recurso alimentado por IA do GitHub pode sugerir correções que abordam apenas parcialmente a vulnerabilidade de segurança ou não conseguem preservar a funcionalidade do código pretendido.
"O Code Scanning Autofix ajuda as organizações a desacelerar o crescimento dessa 'dívida de segurança de aplicativos', facilitando aos desenvolvedores a correção de vulnerabilidades à medida que elas programam," acrescentaram Tempel e Tooley.
"Assim como o GitHub Copilot alivia os desenvolvedores de tarefas tediosas e repetitivas, o Code Scanning Autofix ajudará as equipes de desenvolvimento a recuperar o tempo anteriormente gasto em remediação."
A empresa planeja adicionar suporte para idiomas adicionais nos próximos meses, com o suporte para C# e Go vindo a seguir.
Mais detalhes sobre a ferramenta de verificação de código alimentada pelo GitHub Copilot estão disponíveis no site de documentação do GitHub.
No mês passado, a empresa também ativou a proteção de push por padrão para todos os repositórios públicos para evitar a exposição acidental de segredos como tokens de acesso e chaves de API ao inserir novo código.
Isso foi um problema significativo em 2023, quando os usuários do GitHub expuseram acidentalmente 12,8 milhões de segredos de autenticação e sensíveis através de mais de 3 milhões de repositórios públicos ao longo do ano.
Como o BleepingComputer relatou, segredos e credenciais expostos foram explorados para várias violações de alto impacto [1, 2, 3] nos últimos anos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...