GitHub mette a disposizione uno strumento IA per la correzione automatica di vulnerabilità nel codice di programmazione

GitHub mette a disposizione uno strumento IA per la correzione automatica di vulnerabilità nel codice di programmazione

Code Scanning Autofix permette di rilevare bug e vulnerabilità del codice proponendo una correzione, che lo sviluppatore può accettare, modificare o scartare

di pubblicata il , alle 14:53 nel canale Software
 

GitHub ha introdotto "Code Scanning Autofix", una nuova funzionalità supportata dall'intelligenza artificiale che dovrebbe velocizzare in maniera sensibile il processo di correzione delle vulnerabilità nella scrittura di codice di programmazione.

La funzionalità è al momento disponibile come versione beta pubblica ed è abilitata automaticamente su tutti i repository privati per coloro i quali sono clienti del servizio GitHub Advanced Security (GHAS).

Code Scanning Autofix è basata su GitHub Copilot e CodeQL ed è capace di gestire il 90% delle tipologie di avvisi di JavaScript, Typescript, Java e Python. Secondo le dichiarazioni di GitHub quando la funzionalità viene attivata è in grado di fornire soluzioni potenziali capaci di risolvere "oltre due terzi" delle vulnerabilità che vengono rilevate durante la modifica, in maniera totalmente automatica o quasi.

Il funzionamento è spiegato da Pierre Tempel ed Eric Tooley di GitHub: "Quando viene scoperta una vulnerabilità in una linguaggio di programmazione supportato, i suggerimenti includeranno una spiegazione in linguaggio naturale della correzione suggerita, insieme a un'anteprima del codice correttivo che lo sviluppatore può accettare, modificare o ignorare". Lo strumento di IA può suggerire correzioni al file corrente o anche a più file e dipendenze del progetto. 

L'uso di Code Scanning Autofix potrebbe ridurre in maniera consistente la frequenza delle vulnerabilità che i team deputati alla sicurezza devono gestire quotidianamente, permettendo loro di liberare risorse da dedicare ad altri aspetti della sicurezza, invece che del mero debugging di vulnerabilità introdotte nei processi di sviluppo.

Chiaramente si tratta di uno strumento il cui impiego è auspicabile venga adottato "cum grano salis", verificando che le correzioni proposte risolvano in toto la vulnerabilità riscontrata o che non introducano altre problematiche non riscontrabili nell'immediatezza. 

Code Scanning Autofix andrà a supportare ulteriori linguaggi di programmazione nel futuro prossimo, con C# e Go che dovrebbero essere i prossimi in linea temporale.

I migliori sconti su Amazon oggi

HP 250R G9, Computer Portatile Notebook, Intel i5-1334u 10 Core 3.4Ghz, Display 15.6'' FHD, Ram 32GB, SSD 1000GB, Windows 11

529.00 Compra ora

TCL 55V6C TV 55'' 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

299.00 Compra ora

Bosch Set da 34 Pezzi di punte e bit avvitamento in titanio X-Line (per legno, pietra e metallo, accessori trapano)

9.95 Compra ora
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
jepessen22 Marzo 2024, 16:22 #1
CodeQL meriterebbe di essere approfondito, e' uno strumento utilissimo ma scarsamente conosciuto/utilizzato...
UtenteHD22 Marzo 2024, 17:41 #2
Da inesperto, credo questo sia una cosa interessante, ovviamente da usare a seguito di un controllo "Umano".
Forse e' anche utile per tutti quelli che (leggendo articoli) cercano di inserire nella piattaforma appositamente dei codici bucati e/o non corretti.
Speriamo renda il tutto piu' sicuro.
LMCH24 Marzo 2024, 15:37 #3
Niente C/C++ e solo linguaggi (in teoria) "memory safe" ?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^