Последний ИИ-инструмент GitHub научился автоматически исправлять уязвимости кода

Компания Sentry анонсировала свою функцию AI Autofix для отладки рабочего кода, а позже GitHub запустила первую бета-версию своей функции автоисправления сканирования кода для поиска и устранения уязвимостей безопасности в процессе кодирования. Эта новая функция сочетает в себе возможности Copilot GitHub в режиме реального времени с CodeQL, механизмом семантического анализа кода компании.

Компания впервые анонсировала эту возможность в ноябре прошлого года. GitHub обещает, что эта новая система сможет исправить более двух третей обнаруженных ею уязвимостей — зачастую без необходимости разработчикам самостоятельно редактировать какой-либо код. Компания также обещает, что автоисправление сканирования кода будет охватывать более 90% типов оповещений на поддерживаемых ею языках, которыми в настоящее время являются JavaScript, Typescript, Java и Python.

Новая функция теперь доступна для всех клиентов GitHub Advanced Security (GHAS). «Подобно тому как GitHub Copilot освобождает разработчиков от утомительных и повторяющихся задач, автоисправление сканирования кода помогает командам разработчиков вернуть время, которое раньше тратилось на исправления, — пишет GitHub в своем объявлении. — Команды безопасности также выиграют от сокращения количества повседневных уязвимостей, чтобы они могли сосредоточиться на стратегиях защиты бизнеса, не отставая от ускоренных темпов развития».

В фоновом режиме эта новая функция использует механизм CodeQL, механизм смыслового анализа GitHub, для поиска уязвимостей в коде еще до его выполнения. Компания сделала первое поколение CodeQL доступным для общественности в конце 2019 года после того, как приобрела стартап по анализу кода Semmle, где и развивался CodeQL. За прошедшие годы был внесен ряд улучшений, но одно никогда не менялось: инструмент был доступен бесплатно только для исследователей и разработчиков с открытым исходным кодом.

Теперь CodeQL находится в центре этого нового инструмента, хотя GitHub также отмечает, что он использует «комбинацию эвристики и API-интерфейсов GitHub Copilot», чтобы предлагать свои исправления. Для генерации исправлений и пояснений к ним GitHub использует модель OpenAI GPT-4.И хотя GitHub достаточно уверен в себе, чтобы утверждать, что подавляющее большинство предложений по автоисправлению будут верными, компания все же отмечает, что «небольшой процент предлагаемых исправлений будет отражать существенное непонимание кодовой базы или уязвимости».

Тем временем компания Nvidia анонсировала свой новейший чип для искусственного интеллекта, который, по ее словам, может выполнять некоторые задачи в 30 раз быстрее, чем его предшественник. Помимо чипа B200 Blackwell, на ежегодной конференции разработчиков генеральный директор Дженсен Хуанг подробно рассказал о новом наборе программных инструментов.