Loš je dan za greške. Jučer je, Sentry je najavio svoju značajku AI Autofix za otklanjanje pogrešaka proizvodnog koda, a onda, nekoliko sati kasnije, GitHub pokreće prvu beta verziju svoje značajke automatskog popravka skeniranja koda za pronalaženje i popravljanje sigurnosnih propusta tijekom procesa kodiranja. Ova nova značajka kombinira mogućnosti GitHubovog Copilota u stvarnom vremenu s CodeQL-om, tvrtkinim motorom za analizu semantičkog koda. Tvrtka je prvi put predstavila ovu mogućnost prošlog studenog.
GitHub obećava da ovaj novi sustav može ispraviti više od dvije trećine ranjivosti koje pronađe — često bez potrebe programera da sami uređuju kod. Tvrtka također obećava da će automatski popravak skeniranja koda pokriti više od 90% vrsta upozorenja na jezicima koje podržava, a to su trenutno JavaScript, Typescript, Java i Python.
Ova nova značajka sada je dostupna svim korisnicima GitHub Advanced Security (GHAS).
“Baš kao što GitHub Copilot oslobađa programere zamornih i ponavljajućih zadataka, automatski popravak skeniranja koda pomoći će razvojnim timovima da povrate vrijeme koje su prethodno potrošili na popravke”, piše GitHub u današnjoj objavi. “Sigurnosni timovi također će imati koristi od smanjenog opsega svakodnevnih ranjivosti, tako da se mogu usredotočiti na strategije za zaštitu poslovanja dok drže korak s ubrzanim tempom razvoja.”
U pozadini, ova nova značajka koristi CodeQL engine, GitHubov mehanizam za semantičku analizu za pronalaženje ranjivosti u kodu, čak i prije nego što se on izvrši. Tvrtka je prvu generaciju CodeQL-a učinila dostupnom javnosti krajem 2019. nakon što je kupila startup za analizu koda Semmle, gdje je CodeQL bio inkubiran. Tijekom godina napravio je niz poboljšanja u CodeQL-u, ali jedna stvar koja se nikada nije promijenila je da je CodeQL bio besplatno dostupan samo za istraživače i programere otvorenog koda. Sada je CodeQL u središtu ovog novog alata, iako GitHub također napominje da koristi “kombinaciju heuristike i GitHub Copilot API-ja” kako bi predložio svoje popravke. Za generiranje popravaka i njihovih objašnjenja, GitHub koristi OpenAI GPT-4 model. I dok je GitHub očito dovoljno samouvjeren da sugerira da će velika većina prijedloga za autopopravke biti točna, tvrtka napominje da će “mali postotak predloženih popravaka odražavati značajno nerazumijevanje baze koda ili ranjivosti.”