GitHub 推出了一项名为 Autofix Copilot 的人工智能驱动的漏洞修复工具,该工具集成在 GitHub Advanced Security 中,现已全面可用。Autofix Copilot 使用先进的生成式 AI 技术,在代码合并请求期间检测新代码中的漏洞,并提供解决方案以在代码推送到生产环境之前解决问题。
Autofix Copilot 与 GitHub 的 AI 辅助工具 Copilot 类似,后者帮助开发者快速生成软件代码。Autofix Copilot 像一个安全专家伙伴一样与软件开发人员一起工作,能够扫描现有代码,检测漏洞,并提供针对性的解释说明代码问题所在,以及解决问题的修复方案。
根据 GitHub 在产品公开测试期间的客户数据,使用 Autofix Copilot 的客户在检测和修复问题所需的时间上有了显著减少。例如,自动提交修复的平均时间从手动操作的1.5小时缩短到了28分钟。
特定的漏洞,如跨站脚本(XSS)和 SQL 注入,使用 Autofix Copilot 进行修复的速度更快。例如,跨站脚本的修复时间从手动的2.8小时减少到了22分钟,SQL 注入的修复时间从3.7小时减少到了18分钟。
Autofix Copilot 的重要性在于它不仅提供了漏洞的有意义的修复和补救措施,而且还能向非安全专家的开发人员解释为什么其建议是必要的,以及如何正确实施修复。这使得 AI 工具不仅仅是网络安全中开发者使用的一个简单扫描设备,而且是一种提高他们整体安全意识的方式。
Autofix Copilot 内部使用一个名为 CodeQL 的专门代码扫描引擎,结合 OpenAI 的旗舰 AI 模型 GPT-4o 生成代码修复建议。它可以处理用户提供的大量内部私有企业代码库和开源代码库。
GitHub 作为全球开源社区的家园,拥有独特的地位,可以帮助维护者检测和修复漏洞,使开源软件对每个人来说更安全、更可靠。
来源:siliconangle
相关文章
粤公网安备44011102483711号