GitHub робить свій інструмент на основі штучного інтелекту Copilot Autofix загальнодоступним — він допомагає розробникам шукати та усувати вразливості в коді. Про це компанія повідомила у своєму блозі.
GitHub запустив цей інструмент у бета-тесті в березні цьогоріч, і з травня по липень збирав про нього відгуки від програмістів. Йдеться, що він відрізняється від інших інструментів сканування коду. Адже не лише може знайти вразливості, а й пояснити їх і допомогти виправити.
Copilot Autofix може генерувати виправлення для десятків класів вразливостей, таких як SQL-ін’єкції або міжсайтовий скриптинг, а розробник потім матиме змогу обрати: відхилити їх, відредагувати чи затвердити та включити у свій Pull Request.
Для пошуку вразливостей і генерації виправлень Copilot Autofix використовує CodeQL engine, GPT-4o, комбінацію евристик і GitHub Copilot API.
GitHub посилається на відгуки розробників і каже, що з їхнім ШІ-інструментом робота з безпекою коду стає значно швидшою та продуктивнішою. Стверджується, що:
- у середньому розробникам потрібно було 28 хвилин, щоб автоматично виправити проблему з використанням Copilot Autofix, тоді як на ручне виправлення такої ж проблеми витрачається 1,5 години.
- для виправлення вразливостей типу міжсайтовий скриптинг знадобилося 22 хвилини, тоді як вручну це займає майже 3 години.
- виправлення вразливостей типу SQL-ін’єкція зайняло 18 хвилин порівняно з 3,7 годинами ручного виправлення.
Розробники можуть увімкнути Copilot Autofix для виправлення помилок у коді, натиснувши «Згенерувати виправлення» при отриманні попередження про сканування коду GHAS, а потім натиснути «Створити PR з виправленням», щоб створити новий запит, який містить необхідні зміни в коді.
З вересня Copilot Autofix стане безкоштовним для всіх проєктів із відкритим кодом.
У квітні цьогоріч GitHub анонсував запуск сервісу Copilot Workspace, що дозволяє починати проєкти за допомогою ШІ.
