Source: Slashdot
据InfoWorld报道,微软旗下的GitHub推出了“Copilot Autofix”,这是一项由人工智能提供支持的软件漏洞修复服务。这一功能于本周三作为GitHub高级安全服务的一部分推出。GitHub在宣布中表示:“Copilot Autofix分析代码中的漏洞,解释其重要性,并提供代码建议,帮助开发人员尽快修复漏洞。GitHub Enterprise Cloud上的GHAS客户已经在其订阅中包含了Copilot Autofix。GitHub在GHAS代码扫描设置中默认为这些客户启用了Copilot Autofix。
从9月份开始,Copilot Autofix将免费提供给开源项目的拉取请求中。在为期六个月的公测期间,GitHub发现使用Copilot Autofix的开发人员修复代码漏洞的速度比手动操作快三倍以上,展示了像Copilot Autofix这样的AI代理可以极大地简化和加速软件开发。一位在GitHub宣布中引用的首席工程师表示:“自实施Copilot Autofix以来,我们观察到在与安全相关的代码审查上花费的时间减少了60%,整体开发生产率提高了25%。宣布还指出,Copilot Autofix“利用了CodeQL引擎、GPT-4o以及一组启发式和GitHub Copilot API。代码扫描工具可以检测漏洞,但它们并未解决一个根本问题:修复需要安全专业知识和时间,这两者都是严重短缺的宝贵资源。
换句话说,发现漏洞并非问题所在。解决它们才是。开发人员可以通过Copilot Autofix在拉取请求中避免新的漏洞,并且现在还可以通过为现有漏洞生成修复方案来减少安全债务。修复方案可以针对数十项代码漏洞类别生成,例如SQL注入和跨站脚本攻击,开发人员可以在拉取请求中放弃、编辑或提交这些修复方案。对于并非专业的安全专家的开发人员来说,Copilot Autofix就像是在审核代码时即时拥有您的安全团队的专业知识一样。
作为全球开源社区的家园,GitHub在帮助维护者检测和纠正漏洞方面处于独特地位,使开源软件对每个人更加安全可靠。我们坚信,成为开源软件的负责消费者和贡献者是非常重要的,这也是为什么开源维护者已经可以免费利用GitHub提供的代码扫描、密钥扫描、依赖管理和私有漏洞报告工具。从9月份开始,我们很高兴将Copilot Autofix加入到拉取请求中,并免费提供给所有开源项目。虽然软件安全责任仍然落在开发者的肩上,但我们认为AI代理可以帮助减轻很大一部分负担。通过Copilot Autofix,我们离我们的愿景更近了一步,即发现的漏洞意味着已经得到修复。
AI在代码漏洞修复中的应用不仅提高了开发效率,也减少了安全风险,为软件开发注入了更多的智能元素。" } ```