GitHub Copilot Autofix 声称可识别并解决代码中的安全问题

事实上，Copilot自动修复在查找和修复跨站点脚本漏洞方面快了七倍——22分钟，而手动修复则需要近三个小时。该公司表示，它在查找和修复SQL注入漏洞方面快了12倍——18分钟，而手动修复则需要3.7小时。22R品论天涯网

“自从实施Copilot自动修复以来，我们观察到与安全相关的代码审查时间减少了60%，总体开发效率提高了25%，”Optum首席工程师KevinCooper在一份声明中说。22R品论天涯网

此外，“在安全至关重要的医疗保健领域，它帮助我们快速采取经过验证的行业解决方案。这种主动的安全方法有助于我们预防潜在问题，每月节省数千小时，否则这些时间将用于修复，”Cooper补充道。22R品论天涯网

“有趣的分裂”22R品论天涯网

“保护代码一直存在一个有趣的分裂：负责修复安全漏洞的个人——软件开发人员——通常既缺乏时间，也缺乏完成此任务所需的培训，”ForresterResearch分析师JanetWorthington告诉TheNewStack。22R品论天涯网

静态应用程序安全测试(SAST)工具扫描代码库，并根据安全缺陷和编程语言向开发人员提供修复指南。然而，Worthington说，这些建议可能过于笼统，或者更适合已经熟悉安全术语的安全专业人员。22R品论天涯网

Hanley表示，CopilotAutofix背后利用了CodeQL引擎、GPT-4o以及启发式算法和GitHubCopilotAPI的组合来生成代码建议。22R品论天涯网

“像GitHub的CodeQL这样的安全工具正在利用生成式AI来减轻软件开发人员修复安全缺陷的负担，同时降低风险，”Worthington说。22R品论天涯网

借助GitHubCopilotAutofix等创新，开发人员会看到安全缺陷以及针对其代码的自动生成的修复，开发人员可以审查并根据需要接受或修改修复。这不仅提高了开发人员的生产力，而且提高了有效解决问题的可能性。22R品论天涯网

“虽然这一进步标志着代码安全方面的重大进展，但重要的是要认识到生成式AI并非完美无缺，”Worthington说。“任何由自动化工具提供的修复都必须像其他任何代码更改一样经过严格审查，在集成到主分支之前，要进行SAST、软件成分分析和同行代码审查。”22R品论天涯网

CopilotAutofix的工作原理22R品论天涯网

Hanley表示，要为现有代码中的漏洞启动CopilotAutofix，只需在GHAS代码扫描警报中的警报上按下“生成修复”按钮。CopilotAutofix会评估代码和漏洞，并返回解释和代码建议以供审查。然后，开发人员可以按下“使用修复创建PR”按钮来创建一个新的拉取请求，其中包含修复警报的代码更改。22R品论天涯网

“CopilotAutofix负责繁琐的安全任务，确保我们现有的和新的代码始终尽可能安全，”Otto(GmbH&CoKG)安全社区经理MarioLandgraf在一份声明中说。“漏洞会立即被标记，并会自动推荐代码更改。它可以帮助我们的团队腾出时间，以便他们专注于更具战略意义的举措。”22R品论天涯网

与此同时，从9月开始，GitHub将在拉取请求中添加CopilotAutofix，将其添加到为所有开源项目提供的工具列表中。该列表已经包括GitHub的代码扫描、秘密扫描、依赖项管理和私有漏洞报告工具，这些工具都是免费提供的。22R品论天涯网