GitHub最新推出的AI工具——代码扫描自动修复功能,现已面向GitHub高级安全客户公开测试。这一新功能能够帮助开发者修复超过三分之二的受支持警告,几乎无需或只需少量编辑,从而大幅减少用于修复工作的时间和精力。
代码扫描自动修复功能由GitHub Copilot和CodeQL(其代码分析引擎,能够自动化安全检查)提供支持,覆盖了JavaScript、TypeScript、Java和Python中超过90%的警告类型。它提供代码建议,几乎无需或只需少量编辑即可修复漏洞,使开发者在编码过程中更容易修复漏洞。
该工具通过利用CodeQL引擎以及启发式方法和GitHub Copilot API的组合来生成代码建议。当在支持的语言中发现漏洞时,修复建议包括对所建议修复的自然语言解释,以及开发者可以接受、编辑或忽略的代码建议预览。
GitHub表示,他们对应用安全性的愿景是创造一个“发现即修复”的环境。通过优先在GitHub高级安全中优化开发者体验,该公司已经帮助团队比传统安全工具快7倍地进行修复。代码扫描自动修复是下一个飞跃,它通过使开发者在编码过程中更容易修复漏洞,有助于组织减缓“应用安全债务”的增长。
GitHub计划继续为更多语言提供支持,接下来将是C#和Go。该公司鼓励用户加入自动修复反馈和资源讨论,分享他们的经验,并帮助进一步改进自动修复体验。