Github, kodlama sırasında güvenlik açığı düzeltmelerini hızlandırabilen yeni bir AI destekli özellik sundu. Bu özellik genel beta içindedir ve GitHub Gelişmiş Güvenlik (GHAS) müşterileri için tüm özel depolarda otomatik olarak etkinleştirilir.
Kod tarama Autofix olarak bilinen ve GitHub Copilot ve CodeQL tarafından desteklenen, JavaScript, TypeScript, Java ve Python'daki uyarı türlerinin% 90'ından fazlasını ele almaya yardımcı olur.
Değiştikten sonra, GitHub iddialarının muhtemelen çok az veya hiç düzenleme ile kodlama yaparken bulunan güvenlik açıklarının üçte ikisinden fazlasını ele alacağı potansiyel düzeltmeler sağlar.
"Desteklenen bir dilde bir güvenlik açığı keşfedildiğinde, düzeltme önerileri, geliştiricinin Pierre Tempel ve Eric Tooley'i kabul edebileceği, düzenleyebileceği veya işten çıkarabileceği kod önerisinin bir önizlemesiyle birlikte önerilen düzeltmenin doğal bir dil açıklamasını içerecektir. söz konusu.
Sağladığı kod önerileri ve açıklamalar, geçerli dosyadaki değişiklikleri, birden çok dosyayı ve geçerli projenin bağımlılıklarını içerebilir.
Bu yaklaşımın uygulanması, güvenlik ekiplerinin günlük olarak ele alması gereken güvenlik açıklarının sıklığını önemli ölçüde azaltabilir.
Bu da, geliştirme sürecinde tanıtılan yeni güvenlik kusurlarına ayak uydurmak için gereksiz kaynakları tahsis etmek zorunda kalmak yerine kuruluşun güvenliğini sağlamaya odaklanmalarını sağlar.
Bununla birlikte, GitHub'ın yapay zeka ile çalışan özelliği, güvenlik açığının yalnızca kısmen ele alınan veya amaçlanan kod işlevselliğini koruyamayan düzeltmeler önerebileceğinden, geliştiricilerin güvenlik sorunlarının çözülüp çözülmediğini her zaman doğrulamaları gerektiğini belirtmek de önemlidir.
Tempel ve Tooley, "Kod Tarama AutoFix, kuruluşların bu" uygulama güvenlik borcunun "büyümesini yavaşlatmasına yardımcı olarak, geliştiricilerin güvenlik açıklarını kodlarken düzeltmelerini kolaylaştırarak."
"Github Copilot'un sıkıcı ve tekrarlayan görevlerin geliştiricilerini hafiflettiği gibi, kod tarama Autofix, geliştirme ekiplerinin daha önce iyileştirme için harcanan zamanı geri kazanmasına yardımcı olacaktır."
Şirket, önümüzdeki aylarda C# ve GO desteği daha sonra ek dillere destek eklemeyi planlıyor.
GitHub Copilot ile çalışan kod tarama AutoFix aracı hakkında daha fazla bilgi GitHub'ın Dokümantasyon web sitesinde mevcuttur.
Geçen ay, şirket ayrıca tüm kamu depolarının yeni kodları iterken erişim belirteçleri ve API anahtarları gibi sırların kazara maruz kalmasını durdurması için varsayılan olarak itme korumasını sağladı.
Github kullanıcıları, yıl boyunca 3 milyondan fazla kamu deposu aracılığıyla yanlışlıkla 12.8 milyon kimlik doğrulama ve hassas sırlara maruz kaldığı için bu 2023'te önemli bir konuydu.
BleepingComputer'ın bildirdiği gibi, son yıllarda çok sayıda yüksek etkili ihlal [1, 2, 3] için açıkta kalan sırlar ve kimlik bilgileri kullanılmıştır.
2023'te GitHub'da 12 milyondan fazla kimlik dışı sır ve anahtar sızdı
Yatırım danışmanları 'AI yıkama' ücretlerini çözmek için 400 bin dolar ödüyor
Google Mühendis, Çinli firmalar için AI teknoloji sırlarını çalmayı yakaladı
Cesur Tarayıcı, Android'de gizlilik odaklı AI Asistan'ı başlattı
Yüzü Backdoor kullanıcılarının makinelerinde sarılmak için kötü niyetli yapay zeka modelleri
Kaynak: Bleeping Computer