GitHub está presentando una nueva herramienta de reparación automática de escaneo de código que puede buscar vulnerabilidades en el código de software en un intento por ayudar a los desarrolladores y aumentar la productividad. La nueva función estará disponible a partir de hoy en versión beta pública para todos los clientes de GitHub Advanced Security, confirmó la compañía. Desarrollada por GitHub Copilot y CodeQL, la herramienta cubre más del 90% de los tipos de alertas en los lenguajes de programación JavaScript, Typecript, Java y Python, y puede ofrecer sugerencias de código que solucionan vulnerabilidades «con poca o ninguna edición». CodeQL es el código semántico motor de análisis desarrollado por GitHub para automatizar controles de seguridad y trata el código como datos, lo que permite a los desarrolladores encontrar vulnerabilidades potenciales en el código con mayor confianza que los analizadores estáticos tradicionales. Las herramientas de escaneo de seguridad de código ayudan a identificar vulnerabilidades en el código, pero solucionarlas implica alertas de clasificación y verificar la documentación antes de resolver la solución, todo lo cual puede llevar más tiempo. GitHub dijo que la herramienta de reparación automática de escaneo de código proporciona a los desarrolladores una explicación del problema y sugerencias de código para remediarlo directamente en la solicitud de extracción. Puede explicar qué característica está causando la falla, como «la respuesta proporcionada por el usuario se usa directamente en la respuesta HTTP sin ningún saneamiento» y luego proporcione una respuesta detallada sobre por qué eso es un problema. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, recientemente actualizado para 2023. (Crédito de la imagen: GitHub) Luego, la herramienta puede sugerir una solución, ofreciendo una vista previa de la sugerencia de código que el desarrollador puede aceptar, editar o descartar. Las sugerencias de código pueden incluir cambios en múltiples archivos y las dependencias que deben agregarse al proyecto, dijo la firma. La reparación automática de escaneo de código utiliza el motor CodeQL y una combinación de heurísticas y las API de GitHub Copilot para generar estas sugerencias. GitHub: «La reparación automática de escaneo de código es el próximo paso adelante» para los desarrolladores GitHub dijo que su oferta GitHub Advanced Security ayuda a los equipos a corregir siete veces más rápido que la solución tradicional. herramientas de seguridad. «La reparación automática del escaneo de código es el próximo paso adelante, ayudando a los desarrolladores a reducir drásticamente el tiempo y el esfuerzo dedicado a la remediación», dijo la firma. La mayoría de las organizaciones admiten un número «cada vez mayor» de vulnerabilidades que existen en los repositorios de producción, agregó. Con el lanzamiento de la nueva herramienta, GitHub dijo que los desarrolladores podrán abordar directamente la ‘deuda de seguridad’ y facilitar la reparación de vulnerabilidades a medida que codifican. “Así como GitHub Copilot libera a los desarrolladores de tareas tediosas y repetitivas, la corrección automática del escaneo de código ayudará Los equipos de desarrollo recuperan el tiempo que antes se dedicaba a la corrección”. La compañía señaló además que los equipos de seguridad también se beneficiarán de un volumen reducido de vulnerabilidades cotidianas. ¿Qué sigue para la reparación automática del escaneo de código? GitHub dijo que planea agregar soporte para más lenguajes de programación, con C# y Vaya «a continuación». GitHub Copilot ha sido uno de los ejemplos más destacados del surgimiento de la IA generativa, ofreciendo sugerencias de código para hacer que los desarrolladores sean más productivos (incluso si dichas herramientas pudieran generar más «rotación de software»). Más de 50.000 empresas utilizan GitHub Copilot. El mes pasado, GitHub Copilot Enterprise, dirigido a desarrolladores de grandes organizaciones, alcanzó disponibilidad general. El nivel empresarial incluye herramientas de chat personalizadas según el código base propio de una empresa, además de búsqueda de documentación y resúmenes de solicitudes de extracción.

Source link