GitHub a introduit une nouvelle fonctionnalité alimentée par l’IA capable d’accélérer les corrections de vulnérabilités lors du codage. Cette fonctionnalité est en version bêta publique et automatiquement activée sur tous les référentiels privés pour les clients GitHub Advanced Security (GHAS).
Connu sous le nom de Correction automatique de l’analyse de code et alimenté par GitHub Copilot et CodeQL, il permet de gérer plus de 90% des types d’alertes en JavaScript, Typescript, Java et Python.
Après avoir été activé, il fournit des correctifs potentiels qui, selon GitHub, corrigeront probablement plus des deux tiers des vulnérabilités trouvées lors du codage avec peu ou pas d’édition.
« Lorsqu’une vulnérabilité est découverte dans un langage pris en charge, les suggestions de correctifs incluent une explication en langage naturel du correctif suggéré, ainsi qu’un aperçu de la suggestion de code que le développeur peut accepter, modifier ou ignorer », Pierre Tempel et Eric Tooley de GitHub ont déclaré.
Les suggestions de code et les explications qu’il fournit peuvent inclure des modifications apportées au fichier actuel, à plusieurs fichiers et aux dépendances du projet actuel.
La mise en œuvre de cette approche peut réduire considérablement la fréquence des vulnérabilités que les équipes de sécurité doivent gérer quotidiennement.
Ceci, à son tour, leur permet de se concentrer sur la sécurité de l’organisation plutôt que d’être obligés d’allouer des ressources inutiles pour suivre les nouvelles failles de sécurité introduites au cours du processus de développement.
Cependant, il est également important de noter que les développeurs doivent toujours vérifier si les problèmes de sécurité sont résolus, car la fonctionnalité alimentée par l’IA de GitHub peut suggérer des correctifs qui ne résolvent que partiellement la vulnérabilité de sécurité ou ne parviennent pas à préserver la fonctionnalité de code prévue.
« La correction automatique de l’analyse de code aide les organisations à ralentir la croissance de cette » dette de sécurité des applications » en permettant aux développeurs de corriger plus facilement les vulnérabilités au fur et à mesure qu’ils codent », ont ajouté Tempel et Tooley.
« Tout comme GitHub Copilot soulage les développeurs des tâches fastidieuses et répétitives, l’analyse de code autofix aidera les équipes de développement à récupérer le temps autrefois consacré à la remédiation. »
La société prévoit d’ajouter la prise en charge de langues supplémentaires dans les mois à venir, avec la prise en charge de C# et Go à venir.
Plus de détails sur l’outil de correction automatique d’analyse de code alimenté par Copilot de GitHub sont disponibles sur le site Web de documentation de GitHub.
Le mois dernier, la société a également activé la protection push par défaut pour tous les référentiels publics afin d’arrêter l’exposition accidentelle de secrets tels que les jetons d’accès et les clés API lors de l’envoi d’un nouveau code.
Il s’agissait d’un problème important en 2023, car les utilisateurs de GitHub ont accidentellement exposé 12,8 millions d’authentifications et de secrets sensibles via plus de 3 millions de référentiels publics tout au long de l’année.
Comme l’a signalé Breachtrace, des secrets et des informations d’identification exposés ont été exploités pour de multiples violations à fort impact [1, 2, 3] ces dernières années.