Công cụ hỗ trợ AI mới của GitHub tự động sửa các lỗ hổng trong mã của người dùng
GitHub đã giới thiệu một tính năng mới được hỗ trợ bởi AI có khả năng tăng tốc độ sửa lỗi trong khi mã hóa. Tính năng này đang ở giai đoạn thử nghiệm công khai và được bật tự động trên tất cả các kho lưu trữ riêng tư dành cho khách hàng GitHub Advanced Security (GHAS).
Được biết đến với tên gọi Tự động sửa mã và được hỗ trợ bởi GitHub Copilot và CodeQL, giúp xử lý hơn 90% các loại cảnh báo trong JavaScript, Typescript, Java và Python.
Sau khi được bật sẽ cung cấp các bản sửa lỗi tiềm năng mà GitHub tuyên bố có thể sẽ giải quyết hơn 2/3 số lỗ hổng được tìm thấy trong khi mã hóa với ít hoặc không cần chỉnh sửa.
“Khi phát hiện lỗ hổng bằng ngôn ngữ được hỗ trợ, các đề xuất khắc phục sẽ bao gồm phần giải thích bằng ngôn ngữ tự nhiên về bản sửa lỗi được đề xuất, cùng với bản xem trước đề xuất mã mà lập trình viên có thể chấp nhận, chỉnh sửa hoặc loại bỏ”, Pierre Tempel và Eric Tooley của GitHub cho biết.
Các đề xuất và giải thích mã mà nó cung cấp có thể bao gồm các thay đổi đối với tệp hiện tại, nhiều tệp và các phần phụ thuộc của dự án hiện tại.
Việc triển khai phương pháp này có thể giảm đáng kể tần suất xuất hiện các lỗ hổng mà đội ngũ bảo mật phải xử lý hàng ngày.
Ngược lại, điều này cho phép họ tập trung vào việc đảm bảo an ninh của tổ chức thay vì buộc phải phân bổ các nguồn lực không cần thiết để theo kịp các lỗi bảo mật mới được đưa ra trong quá trình phát triển.
Tuy nhiên, điều quan trọng cần lưu ý là các lập trình viên phải luôn xác minh xem các vấn đề bảo mật có được giải quyết hay không, vì tính năng hỗ trợ AI của GitHub có thể đề xuất các bản sửa lỗi chỉ giải quyết một phần lỗ hổng bảo mật hoặc không duy trì được chức năng mã dự định.
Tempel và Tooley cho biết thêm: "Tự động sửa lỗi quét mã giúp các tổ chức làm chậm sự phát triển của" khoản nợ bảo mật ứng dụng "này bằng cách giúp các nhà phát triển dễ dàng sửa các lỗ hổng khi họ viết mã hơn".
"Giống như GitHub Copilot giúp các ập trình viên giảm bớt những công việc tẻ nhạt và lặp đi lặp lại, tính năng tự động sửa lỗi quét mã sẽ giúp các nhóm phát triển lấy lại thời gian trước đây dành cho việc khắc phục."
GitHub có kế hoạch bổ sung hỗ trợ cho các ngôn ngữ bổ sung trong những tháng tới, tiếp theo là hỗ trợ C# và Go.
Thông tin chi tiết hơn về công cụ tự động sửa lỗi quét mã do GitHub Copilot cung cấp có sẵn trên trang web tài liệu của GitHub.
Tháng trước, GitHub cũng đã bật tính năng bảo vệ đẩy theo mặc định cho tất cả các kho lưu trữ công khai để ngăn chặn việc vô tình làm lộ các bí mật như mã thông báo truy cập và khóa API khi đẩy mã mới.
Đây là một vấn đề quan trọng vào năm 2023, vì người dùng GitHub đã vô tình tiết lộ 12,8 triệu bí mật xác thực và nhạy cảm thông qua hơn 3 triệu kho lưu trữ công khai trong suốt cả năm.
Như BleepingComputer đã báo cáo, các bí mật và thông tin xác thực bị lộ đã bị khai thác để thực hiện nhiều vụ vi phạm có tác động lớn [1, 2, 3] trong những năm gần đây.
Nguồn: bleepingcomputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA