A nova ferramenta do GitHub, movida a IA, corrige automaticamente vulnerabilidades em seu código
21 de Março de 2024

O GitHub introduziu um novo recurso alimentado por IA capaz de acelerar as correções de vulnerabilidades enquanto se programa.

Este recurso está em beta público e está automaticamente habilitado em todos os repositórios privados para os clientes do GitHub Advanced Security (GHAS).

Conhecido como Code Scanning Autofix e alimentado pelo GitHub Copilot e CodeQL, ele ajuda a lidar com mais de 90% dos tipos de alertas em JavaScript, Typescript, Java e Python.

Depois de ser ativado, ele fornece correções potenciais que, segundo o GitHub, provavelmente abordarão mais de dois terços das vulnerabilidades encontradas durante a programação com pouca ou nenhuma edição.

"Quando uma vulnerabilidade é descoberta numa linguagem suportada, as sugestões de correção irão incluir uma explicação em linguagem natural da correção sugerida, juntamente com uma pré-visualização da sugestão de código que o desenvolvedor pode aceitar, editar ou descartar," disseram Pierre Tempel e Eric Tooley do GitHub.

As sugestões de código e as explicações que ele fornece podem incluir alterações no arquivo atual, em vários arquivos e nas dependências do projeto atual.

A implementação desta abordagem pode reduzir significativamente a frequência de vulnerabilidades que as equipes de segurança devem lidar diariamente.

Isso, por sua vez, permite que se concentrem em garantir a segurança da organização em vez de serem forçados a alocar recursos desnecessários para acompanhar as novas falhas de segurança introduzidas durante o processo de desenvolvimento.

No entanto, também é importante notar que os desenvolvedores devem sempre verificar se os problemas de segurança são resolvidos, pois o recurso alimentado por IA do GitHub pode sugerir correções que abordam apenas parcialmente a vulnerabilidade de segurança ou não conseguem preservar a funcionalidade do código pretendido.

"O Code Scanning Autofix ajuda as organizações a desacelerar o crescimento dessa 'dívida de segurança de aplicativos', facilitando aos desenvolvedores a correção de vulnerabilidades à medida que elas programam," acrescentaram Tempel e Tooley.

"Assim como o GitHub Copilot alivia os desenvolvedores de tarefas tediosas e repetitivas, o Code Scanning Autofix ajudará as equipes de desenvolvimento a recuperar o tempo anteriormente gasto em remediação."

A empresa planeja adicionar suporte para idiomas adicionais nos próximos meses, com o suporte para C# e Go vindo a seguir.

Mais detalhes sobre a ferramenta de verificação de código alimentada pelo GitHub Copilot estão disponíveis no site de documentação do GitHub.

No mês passado, a empresa também ativou a proteção de push por padrão para todos os repositórios públicos para evitar a exposição acidental de segredos como tokens de acesso e chaves de API ao inserir novo código.

Isso foi um problema significativo em 2023, quando os usuários do GitHub expuseram acidentalmente 12,8 milhões de segredos de autenticação e sensíveis através de mais de 3 milhões de repositórios públicos ao longo do ano.

Como o BleepingComputer relatou, segredos e credenciais expostos foram explorados para várias violações de alto impacto [1, 2, 3] nos últimos anos.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...