GitHub lance un outil basé sur l'IA pour corriger automatiquement les vulnérabilités dans le code

Par: Bohdan Kaminskyi | 25.03.2024, 17:11

GitHub

La plateforme GitHub a introduit une nouvelle fonctionnalité basée sur l'intelligence artificielle appelée Code Scanning Autofix. Elle corrige automatiquement les failles de sécurité dans le code en cours d'écriture. Cette fonctionnalité est alimentée par GitHub Copilot et CodeQL.

Voici ce que nous savons

Dans la version bêta publique, Code Scanning Autofix est automatiquement activé dans tous les dépôts privés des utilisateurs de GitHub Advanced Security (GHAS). Elle est capable de traiter plus de 90 % des types d'alertes de vulnérabilité en JavaScript, TypeScript, Java et Python.

Une fois activée, la fonctionnalité propose des correctifs potentiels qui, selon GitHub, peuvent remédier à plus de deux tiers des vulnérabilités détectées sans que le développeur n'ait à modifier le code. Les suggestions sont accompagnées d'une explication en langage naturel et d'un aperçu des modifications.

L'adoption de cette approche peut réduire considérablement le nombre de vulnérabilités nécessitant un traitement manuel par les équipes de sécurité. Elles pourront ainsi se concentrer sur la cybersécurité globale de l'organisation, plutôt que de gaspiller des ressources à corriger de nouvelles failles au cours du développement.

Cela dit, il est conseillé aux développeurs de toujours vérifier que les problèmes sont entièrement résolus et que les fonctionnalités du code sont préservées, car les correctifs de l'IA peuvent être incomplets.

GitHub prévoit d'ajouter la prise en charge de langages de programmation supplémentaires, notamment C# et Go, à Code Scanning Autofix dans les mois à venir.

Au début du mois d'avril, la société a activé la protection contre la divulgation accidentelle de secrets par défaut pour tous les dépôts publics afin d'empêcher la fuite de données sensibles lors de la publication d'un nouveau code.

Source : BleepingComputer BleepingComputer