GitHub a a dévoilé une nouvelle fonctionnalité conçue pour accélérer le processus de résolution des vulnérabilités du code. La fonctionnalité, connue sous le nom de Code Scanning Autofix, est actuellement en version bêta publique et est automatiquement activée pour tous les référentiels privés détenus par les clients de GitHub Advanced. Sécurité (GHAS). Tirant parti des capacités de GitHub Copilot et CodeQL, cet outil basé sur l’IA est capable de gérer plus de 90 % des types d’alertes dans plusieurs langages de programmation, notamment JavaScript, TypeScript, Java et Python.
Lors de l’activation, Code Scanning Autofix évalue le code et suggère des correctifs potentiels, qui, selon GitHub, pourraient résoudre efficacement plus des deux tiers des vulnérabilités détectées avec peu ou pas de modifications requises de la part du développeur. Pierre Tempel et Eric Tooley de GitHub ont expliqué que lorsqu’une vulnérabilité est identifiée dans un langage pris en charge, l’outil suggère non seulement un correctif mais fournit également une explication en langage naturel et un aperçu de la suggestion de code. Les développeurs ont la possibilité d’accepter, de modifier ou de rejeter ces suggestions.
Amélioration de l’efficacité des développeurs
Les suggestions de l’outil peuvent s’étendre sur des fichiers individuels ou sur plusieurs fichiers. , et même des ajustements aux dépendances du projet en cours. En adoptant une approche aussi globale, GitHub vise à réduire considérablement le volume quotidien de vulnérabilités auxquelles les équipes de sécurité doivent remédier. Ce changement permet à ces équipes de se concentrer davantage sur la protection de l’organisation plutôt que d’allouer des ressources considérables pour gérer les nouvelles failles de sécurité émergeant du processus de développement.
Cependant, GitHub avertit également que les développeurs doivent vérifier de manière indépendante l’efficacité des correctifs suggérés. Il est possible que certaines suggestions n’atténuent que partiellement le problème de sécurité ou puissent potentiellement modifier la fonctionnalité prévue du code. « La correction automatique par analyse de code aide les organisations à ralentir la croissance de cette « dette de sécurité des applications » en permettant aux développeurs de corriger plus facilement les vulnérabilités au fur et à mesure qu’ils codent », ont déclaré Tempel et Tooley, établissant un parallèle avec la façon dont GitHub Copilot allège le fardeau des tâches répétitives pour les développeurs..
Extensions futures et mesures de sécurité supplémentaires
Pour l’avenir, GitHub prévoit d’étendre la prise en charge de langages de programmation supplémentaires, avec C# et Go prévus comme prochains ajouts.. De plus amples informations sur cet outil innovant sont disponibles sur le site Web de documentation de GitHub.
Dans un développement connexe, GitHub a récemment implémenté une protection push par défaut pour tous les référentiels publics. Cette décision vise à empêcher l’exposition accidentelle d’informations sensibles. , tels que les jetons d’accès et les clés API, une préoccupation importante mise en évidence par l’exposition accidentelle de 12,8 millions de secrets d’authentification et de secrets sensibles via des référentiels publics rien qu’en 2023
