La última herramienta de IA de GitHub puede solucionar automáticamente vulnerabilidades de código

La última herramienta de IA de GitHub para corregir automáticamente vulnerabilidades de código es perfilada por BTW Media porque la evidencia publicada la vincula con la infraestructura de Internet, la gobernanza, las dependencias operativas o la visibilidad del mercado.

• GitHub lanza la primera beta de su función de autofix de escaneo de código para encontrar y corregir vulnerabilidades de seguridad durante el proceso de codificación.
• Esta nueva función combina las capacidades en tiempo real de Copilot de GitHub con CodeQL, el motor de análisis semántico de código de la empresa.

GitHub anunció el miércoles que está lanzando una función llamada code scanning auto-fix en beta pública para todos los clientes de Seguridad Avanzada, con el fin de proporcionar recomendaciones específicas para evitar la introducción de nuevos problemas de seguridad.

Trabajar con Copilot

«Impulsado por GitHub Copilot y CodeQL, code scanning auto-fix cubre más del 90 % de los tipos de alerta en JavaScript, TypeScript, Java y Python, y ofrece sugerencias de código que han demostrado remediar más de dos tercios de las vulnerabilidades encontradas con poca o ninguna edición», afirmaron Pierre Tempel y Eric Tooley de GitHub.

La capacidad, presentada por primera vez en noviembre de 2023, aprovecha una combinación de CodeQL, las API de Copilot y OpenAI GPT-4 para generar sugerencias de código. La subsidiaria de Microsoft también dijo que planea agregar soporte para más lenguajes de programación, incluidos C# y Go, en el futuro.

Esta nueva función ya está disponible para todos los clientes de GitHub Advanced Security (GHAS).

Lea también:El chatbot chino de IA Kimi maneja 2 millones de caracteres, frente a los 200 000

Lea también:Microsoft contrata a Mustafa Suleyman, cofundador de DeepMind, como CEO de nueva unidad de IA

Pros y contras

«Así como GitHub Copilot libera a los desarrolladores de tareas tediosas y repetitivas, code scanning autofix ayudará a los equipos de desarrollo a recuperar el tiempo que antes dedicaban a la reparación», escribe GitHub en el anuncio de hoy.

«Los equipos de seguridad también se beneficiarán de un volumen reducido de vulnerabilidades cotidianas, para que puedan centrarse en estrategias de protección del negocio mientras mantienen el ritmo acelerado del desarrollo».

Ahora CodeQL es el centro de esta nueva herramienta, aunque GitHub también señala que utiliza «una combinación de heurísticas y las API de GitHub Copilot» para sugerir sus soluciones.

Y aunque GitHub tiene la confianza suficiente para sugerir que la gran mayoría de las sugerencias de autofix serán correctas, la empresa señala que «un pequeño porcentaje de las soluciones sugeridas reflejará un malentendido significativo de la base de código o de la vulnerabilidad».