Es un mal día para los insectos. Hoy temprano, Sentry anunció su función AI Autofix para depurar código de producción y ahora, unas horas más tarde, GitHub está lanzando la primera versión beta de su función Autofix de escaneo de código para encontrar y reparar vulnerabilidades de seguridad durante el proceso de codificación. Esta nueva característica combina las capacidades en tiempo real de Copilot de GitHub con CodeQL, el motor de análisis de código semántico de la compañía. La compañía presentó por primera vez esta capacidad en noviembre pasado.
GitHub promete que este nuevo sistema puede remediar más de dos tercios de las vulnerabilidades que encuentre, a menudo sin que los desarrolladores tengan que editar ningún código ellos mismos. La compañía también promete que la reparación automática del escaneo de código cubrirá más del 90% de los tipos de alertas en los lenguajes que admite, que actualmente son JavaScript, Typecript, Java y Python.
Esta nueva característica ya está disponible para todos. GitHub Clientes de Seguridad Avanzada (GHAS).
“Tal como GitHub Copilot libera a los desarrolladores de tareas tediosas y repetitivas, la reparación automática del escaneo de código ayudará a los equipos de desarrollo a recuperar el tiempo que antes se dedicaba a la remediación”, escribe GitHub en el anuncio de hoy. “Los equipos de seguridad también se beneficiarán de un volumen reducido de vulnerabilidades cotidianas, de modo que puedan centrarse en estrategias para proteger el negocio mientras se mantienen al día con un ritmo acelerado de desarrollo”.
En segundo plano, esta nueva característica utiliza el motor CodeQL, el motor de análisis semántico de GitHub para encontrar vulnerabilidades en el código, incluso antes de que se haya ejecutado. La compañía puso a disposición del público una primera generación de CodeQL a fines de 2019 después de adquirir la startup de análisis de código Semmle, donde se incubó CodeQL. A lo largo de los años, realizó una serie de mejoras en CodeQL, pero una cosa que nunca cambió fue que CodeQL solo estaba disponible de forma gratuita para investigadores y desarrolladores de código abierto.
Ahora, CodeQL está en el centro de esta nueva herramienta, aunque GitHub también señala que utiliza “una combinación de heurística y GitHub API de Copilot” para sugerir sus soluciones. Para generar las correcciones y sus explicaciones, GitHub utiliza el modelo GPT-4 de OpenAI. Y aunque GitHub claramente tiene la confianza suficiente para sugerir que la gran mayoría de las sugerencias de autocorrección serán correctas, la compañía no cree que “un pequeño porcentaje de las correcciones sugeridas reflejarán un malentendido significativo del código base o la vulnerabilidad”.