GitHub mette a disposizione uno strumento IA per la correzione automatica di vulnerabilità nel codice di programmazione

Code Scanning Autofix permette di rilevare bug e vulnerabilità del codice proponendo una correzione, che lo sviluppatore può accettare, modificare o scartare
di Andrea Bai pubblicata il 22 Marzo 2024, alle 14:53 nel canale SoftwareGitHub ha introdotto "Code Scanning Autofix", una nuova funzionalità supportata dall'intelligenza artificiale che dovrebbe velocizzare in maniera sensibile il processo di correzione delle vulnerabilità nella scrittura di codice di programmazione.
La funzionalità è al momento disponibile come versione beta pubblica ed è abilitata automaticamente su tutti i repository privati per coloro i quali sono clienti del servizio GitHub Advanced Security (GHAS).
Code Scanning Autofix è basata su GitHub Copilot e CodeQL ed è capace di gestire il 90% delle tipologie di avvisi di JavaScript, Typescript, Java e Python. Secondo le dichiarazioni di GitHub quando la funzionalità viene attivata è in grado di fornire soluzioni potenziali capaci di risolvere "oltre due terzi" delle vulnerabilità che vengono rilevate durante la modifica, in maniera totalmente automatica o quasi.
Il funzionamento è spiegato da Pierre Tempel ed Eric Tooley di GitHub: "Quando viene scoperta una vulnerabilità in una linguaggio di programmazione supportato, i suggerimenti includeranno una spiegazione in linguaggio naturale della correzione suggerita, insieme a un'anteprima del codice correttivo che lo sviluppatore può accettare, modificare o ignorare". Lo strumento di IA può suggerire correzioni al file corrente o anche a più file e dipendenze del progetto.
L'uso di Code Scanning Autofix potrebbe ridurre in maniera consistente la frequenza delle vulnerabilità che i team deputati alla sicurezza devono gestire quotidianamente, permettendo loro di liberare risorse da dedicare ad altri aspetti della sicurezza, invece che del mero debugging di vulnerabilità introdotte nei processi di sviluppo.
Chiaramente si tratta di uno strumento il cui impiego è auspicabile venga adottato "cum grano salis", verificando che le correzioni proposte risolvano in toto la vulnerabilità riscontrata o che non introducano altre problematiche non riscontrabili nell'immediatezza.
Code Scanning Autofix andrà a supportare ulteriori linguaggi di programmazione nel futuro prossimo, con C# e Go che dovrebbero essere i prossimi in linea temporale.
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoForse e' anche utile per tutti quelli che (leggendo articoli) cercano di inserire nella piattaforma appositamente dei codici bucati e/o non corretti.
Speriamo renda il tutto piu' sicuro.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".