GitHub’s latest AI tool can automatically fix code vulnerabilities

• GitHub lance la première bêta de sa fonctionnalité de correction automatique du code pour détecter et corriger les vulnérabilités de sécurité pendant le processus de codage.
• Cette nouvelle fonctionnalité combine les capacités en temps réel de Copilot de GitHub avec CodeQL, le moteur d'analyse sémantique du code de l'entreprise.

Mercredi, GitHub a annoncé le lancement en bêta publique d'une fonctionnalité appelée « code scanning autofix » pour tous les clients Advanced Security, afin de fournir des recommandations ciblées pour éviter d'introduire de nouvelles failles de sécurité. Voir aussi: Ziggo Group nomme ses dirigeants avant l'introduction en Bourse à Amsterdam en 2027.

Travailler avec Copilot

« Propulsé par GitHub Copilot et CodeQL, le code scanning autofix couvre plus de 90 % des types d'alertes en JavaScript, TypeScript, Java et Python, et propose des suggestions de code qui corrigent plus des deux tiers des vulnérabilités détectées avec peu ou pas d'édition », ont déclaré Pierre Tempel et Eric Tooley de GitHub. Voir aussi: Association ECHOES.

La fonctionnalité, dont un aperçu a été présenté en novembre 2023, tire parti d'une combinaison de CodeQL, des API Copilot et d'OpenAI GPT-4 pour générer des suggestions de code. La filiale de Microsoft a également déclaré qu'elle prévoyait d'ajouter la prise en charge d'autres langages de programmation, notamment C# et Go, à l'avenir. Voir aussi: Département IT - Athlok.

Cette nouvelle fonctionnalité est désormais disponible pour tous les clients GitHub Advanced Security (GHAS). Voir aussi: Alejandro Estua.

Lire aussi: Le chatbot chinois Kimi peut traiter 2 millions de caractères, contre 200 000 auparavant

Lire aussi: Microsoft embauche le cofondateur de DeepMind, Mustafa Suleyman, comme PDG de sa nouvelle unité IA

Avantages et inconvénients

« Tout comme GitHub Copilot soulage les développeurs des tâches fastidieuses et répétitives, le code scanning autofix aidera les équipes de développement à récupérer le temps auparavant consacré à la remédiation », écrit GitHub dans l'annonce d'aujourd'hui. Voir aussi: Alejandro Manzo.

« Les équipes de sécurité bénéficieront également d'un volume réduit de vulnérabilités quotidiennes, ce qui leur permettra de se concentrer sur des stratégies de protection de l'entreprise tout en suivant le rythme accéléré du développement. » Voir aussi: Alejandro Hernandez.

CodeQL est désormais au cœur de ce nouvel outil, bien que GitHub précise également qu'il utilise « une combinaison d'heuristiques et d'API GitHub Copilot » pour suggérer ses corrections. Voir aussi: Alejandro Garza.

Et bien que GitHub soit suffisamment confiant pour suggérer que la grande majorité des suggestions de correction automatique seront correctes, l'entreprise note qu'« un faible pourcentage de corrections suggérées reflétera une mécompréhension significative de la base de code ou de la vulnérabilité. » Voir aussi: Alejandro Guerrero.