激光网3月22日消息,在数字安全至上的时代,GitHub 通过推出其代码扫描自动修复功能的公开测试版,向前迈出了重要一步。这一新增功能有望彻底改变开发人员和安全团队处理代码漏洞的方式,将 GitHub 的 Copilot 的实时协助与 GitHub 的语义代码分析引擎 CodeQL 的分析能力相结合。此功能现在可供所有 GitHub Advanced Security 客户使用。
GitHub 的自动修复工具旨在解决其检测到的三分之二以上的漏洞,通常不需要开发人员进行任何手动编辑。它涵盖了几种主要编程语言中超过 90% 的警报类型。这一发展预示着编码效率和安全性的新时代。
此功能的核心是利用 CodeQL,这是 GitHub 在 2019 年底收购代码分析初创公司 Semmle 后开发的语义分析引擎。CodeQL 最初在 Semmle 孵化,此后不久向公众开放,多年来经历了许多改进。它与自动修复工具的集成,结合 GitHub Copilot API 和启发式方法,可以生成由 OpenAI 的 GPT-4 模型提供支持的代码修复和解释。
尽管 GitHub 对其自动修复建议的准确性充满信心,但该公司承认,一小部分人可能无法完全理解代码库或手头的漏洞。这种诚实强调了人工智能和机器学习在更有效地理解复杂代码库并与之交互方面的持续旅程。
代码扫描自动修复功能的推出代表了在编码过程中实现安全自动化的重大飞跃。通过允许开发人员在编码时解决漏洞,GitHub正在帮助减缓“应用程序安全债务”的积累,这是软件开发中日益关注的问题。
这项创新的关键是 GitHub 对“发现即固定”环境的愿景。该公司强调了 GitHub Advanced Security 在帮助团队修复问题方面比传统工具快 7 倍的效率。随着代码扫描自动修复的引入,GitHub 不仅增强了开发人员的体验,还加强了应用程序的安全框架。
展望未来,GitHub 计划扩展该工具的语言支持,即将推出 C# 和 Go。该公司鼓励用户反馈,以进一步完善和改进自动修复体验。GitHub 工程团队的博客文章深入探讨了该工具的技术工作原理,提供了对评估框架、预处理和后处理启发式方法以及大型语言模型在建议代码编辑中的作用的见解。
