O GitHub tem revelou um novo recurso projetado para agilizar o processo de resolução de vulnerabilidades no código. O recurso, conhecido como Code Scanning Autofix, está atualmente em versão beta pública e é ativado automaticamente para todos os repositórios privados mantidos por clientes do GitHub Advanced. Segurança (GHAS). Aproveitando os recursos do GitHub Copilot e CodeQL, esta ferramenta alimentada por IA é proficiente no tratamento de mais de 90% dos tipos de alerta em diversas linguagens de programação, incluindo JavaScript, TypeScript, Java e Python.
Após a ativação, O Code Scanning Autofix avalia o código e sugere possíveis correções, que o GitHub afirma que poderiam resolver efetivamente mais de dois terços das vulnerabilidades detectadas com o mínimo ou nenhuma modificação exigida pelo desenvolvedor. Pierre Tempel e Eric Tooley do GitHub explicaram que quando uma vulnerabilidade é identificada em uma linguagem suportada, a ferramenta não apenas sugere uma correção, mas também fornece uma explicação em linguagem natural e uma prévia da sugestão de código. Os desenvolvedores têm a opção de aceitar, modificar ou rejeitar essas sugestões.
Aprimorando a eficiência do desenvolvedor
As sugestões da ferramenta podem abranger alterações em arquivos individuais e em vários arquivos. , e até ajustes nas dependências do projeto atual. Ao adotar uma abordagem tão abrangente, o GitHub pretende reduzir significativamente o volume diário de vulnerabilidades que as equipes de segurança precisam resolver. Essa mudança permite que essas equipes se concentrem mais na proteção da organização, em vez de alocar recursos extensos para gerenciar novas falhas de segurança emergentes do processo de desenvolvimento.
No entanto, o GitHub também alerta que os desenvolvedores devem verificar de forma independente a eficácia das correções sugeridas. Existe a possibilidade de que algumas sugestões mitiguem apenas parcialmente o problema de segurança ou alterem potencialmente a funcionalidade pretendida do código. “A correção automática de verificação de código ajuda as organizações a retardar o crescimento dessa’dívida de segurança de aplicativos’, tornando mais fácil para os desenvolvedores corrigirem vulnerabilidades à medida que codificam”, afirmaram Tempel e Tooley, traçando um paralelo com como o GitHub Copilot alivia a carga de tarefas repetitivas para desenvolvedores.
Expansões futuras e medidas de segurança adicionais
Olhando para o futuro, o GitHub planeja estender o suporte para linguagens de programação adicionais, com C# e Go programados como as próximas adições. Mais informações sobre esta ferramenta inovadora estão disponíveis no site de documentação do GitHub.
Em um desenvolvimento relacionado, o GitHub implementou recentemente a proteção push por padrão para todos os repositórios públicos. Essa medida visa evitar a exposição inadvertida de informações confidenciais. , como tokens de acesso e chaves de API, uma preocupação significativa destacada pela exposição acidental de 12,8 milhões de autenticação e segredos confidenciais por meio de repositórios públicos somente em 2023
