GitHub’un en yeni yapay zeka aracı koddaki güvenlik açıklarını otomatik olarak düzeltebilir

Böcekler için kötü bir gün. Bugünün erken saatlerinde Sentry, üretim kodunda hata ayıklamaya yönelik Yapay Zeka Otomatik Düzeltme özelliğini duyurdu ve şimdi, birkaç saat sonra GitHub, kodlama işlemi sırasında güvenlik açıklarını bulmak ve düzeltmek için kod tarama otomatik düzeltme özelliğinin ilk beta sürümünü başlatıyor. Bu yeni özellik, GitHub’un Copilot’unun gerçek zamanlı yeteneklerini şirketin anlamsal kod analiz motoru CodeQL ile birleştiriyor. Şirket bu yeteneğin ön izlemesini ilk kez geçen Kasım ayında yapmıştı.

GitHub, bu yeni sistemin bulduğu güvenlik açıklarının üçte ikisinden fazlasını, genellikle geliştiricilerin herhangi bir kodu kendileri düzenlemek zorunda kalmadan düzeltebileceğinin sözünü veriyor. Şirket ayrıca kod tarama otomatik düzeltmesinin, desteklediği dillerdeki (şu anda JavaScript, Typescript, Java ve Python) uyarı türlerinin %90’ından fazlasını kapsayacağının sözünü veriyor.

Bu yeni özellik artık herkes için mevcut GitHub Gelişmiş Güvenlik (GHAS) müşterileri.

“Tıpkı GitHub Copilot, geliştiricileri sıkıcı ve tekrarlayan görevlerden kurtarıyor, kod tarama otomatik düzeltmesi, geliştirme ekiplerinin daha önce iyileştirme için harcadıkları zamanı geri kazanmalarına yardımcı olacak,” diye yazıyor GitHub bugünkü duyurusunda. “Güvenlik ekipleri aynı zamanda günlük güvenlik açıklarının azalmasından da yararlanacak, böylece artan gelişim hızına ayak uydururken işi korumaya yönelik stratejilere odaklanabilecekler.”

Arka planda, bu yeni özellik, GitHub’un semantik analiz motoru olan CodeQL motorunu kullanarak koddaki güvenlik açıklarını, kod çalıştırılmadan önce buluyor. Şirket, CodeQL’in kuluçkalandığı kod analizi girişimi Semmle’yi satın aldıktan sonra 2019’un sonlarında CodeQL’in ilk neslini halka sundu. Yıllar geçtikçe CodeQL’de bir takım iyileştirmeler yapıldı ancak hiç değişmeyen şey CodeQL’in yalnızca araştırmacılar ve açık kaynak geliştiriciler için ücretsiz olarak mevcut olmasıydı.

Artık CodeQL bu yeni aracın merkezinde yer alıyor, ancak GitHub ayrıca “buluşsal yöntem ve yöntemlerin bir kombinasyonunu” kullandığını da belirtiyor. GitHub Düzeltmelerini önermek için Yardımcı Pilot API’leri”. Düzeltmeleri ve açıklamalarını oluşturmak için GitHub, OpenAI’nin GPT-4 modelini kullanıyor. GitHub, otomatik düzeltme önerilerinin büyük çoğunluğunun doğru olacağını öne sürecek kadar kendinden emin olsa da, şirket “önerilen düzeltmelerin küçük bir yüzdesinin kod tabanı veya güvenlik açığıyla ilgili önemli bir yanlış anlaşılmayı yansıtacağını” düşünmüyor.