- GitHub lance la première version bêta de sa fonctionnalité d'auto-correction de code pour détecter et corriger les vulnérabilités de sécurité pendant le processus de codage.
- Cette nouvelle fonctionnalité combine les capacités en temps réel de GitHub Copilot avec CodeQL, le moteur d'analyse sémantique de code de l'entreprise.
GitHub a annoncé mercredi la mise en version bêta publique d'une fonctionnalité appelée code scanning auto-fix pour tous les clients Advanced Security, afin de fournir des recommandations ciblées pour éviter d'introduire de nouvelles failles de sécurité.
Travailler avec Copilot
« Propulsé par GitHub Copilot et CodeQL, le code scanning auto-fix couvre plus de 90 % des types d'alertes en JavaScript, TypeScript, Java et Python, et fournit des suggestions de code qui corrigent plus de deux tiers des vulnérabilités détectées avec peu ou pas d'édition », ont déclaré Pierre Tempel et Eric Tooley de GitHub.
Cette capacité, présentée pour la première fois en novembre 2023, exploite une combinaison de CodeQL, des API Copilot et d'OpenAI GPT-4 pour générer des suggestions de code. La filiale détenue par Microsoft a également annoncé son intention d'ajouter la prise en charge d'autres langages de programmation, notamment C# et Go, à l'avenir.
Cette nouvelle fonctionnalité est désormais disponible pour tous les clients GitHub Advanced Security (GHAS).
À lire aussi:Le chatbot IA chinois Kimi traite 2 millions de caractères, contre 200k auparavant
À lire aussi:Microsoft recrute le cofondateur de DeepMind, Mustafa Suleyman, en tant que PDG de sa nouvelle unité IA
Avantages et inconvénients
« Tout comme GitHub Copilot soulage les développeurs des tâches fastidieuses et répétitives, le code scanning autofix aidera les équipes de développement à regagner du temps auparavant consacré à la remédiation », écrit GitHub dans l'annonce du jour.
« Les équipes de sécurité bénéficieront également d'une réduction du volume des vulnérabilités quotidiennes, leur permettant de se concentrer sur des stratégies de protection de l'entreprise tout en suivant un rythme de développement accéléré. »
CodeQL est désormais au cœur de ce nouvel outil, bien que GitHub note également qu'il utilise « une combinaison d'heuristiques et d'API GitHub Copilot » pour suggérer ses correctifs.
Et même si GitHub est suffisamment confiant pour affirmer que la grande majorité des suggestions d'auto-correction seront correctes, l'entreprise précise qu'« un petit pourcentage des correctifs suggérés reflètera une mécompréhension significative de la base de code ou de la vulnérabilité ».
