GitHub ha annunciato la disponibilità in beta pubblica per tutti i clienti di GitHub Advanced Security della nuova funzione code scanning autofix.
Grazie a GitHub Copilot e CodeQL, spiega l’azienda, code scanning autofix copre oltre il 90% dei tipi di avviso in JavaScript, Typescript, Java e Python e fornisce suggerimenti di codice che si dimostrano in grado di rimediare a oltre due terzi delle vulnerabilità riscontrate con poche o nessuna modifica.
La vision dell’azienda riguardo alla sicurezza delle applicazioni – sottolinea GitHub – è un ambiente in cui trovare significa risolvere: “found means fixed”. Dando la priorità alla developer experience in GitHub Advanced Security, la piattaforma aiuta già i team a rimediare 7 volte più velocemente rispetto agli strumenti di sicurezza tradizionali, sostiene l’azienda. La funzione code scanning autofix è il prossimo passo avanti, che aiuterà gli sviluppatori a ridurre drasticamente il tempo e l’impegno dedicati alla correzione e alla remediation.
Anche se le applicazioni rimangono uno dei vettori di attacco principali, mette in evidenza GitHub, la maggior parte delle organizzazioni ammette un numero sempre crescente di vulnerabilità non corrette che esistono nei repository di produzione. La scansione automatica del codice aiuta le organizzazioni a rallentare la crescita di questo “debito di sicurezza delle applicazioni“, rendendo più semplice per gli sviluppatori la correzione delle vulnerabilità durante la codifica.
Proprio come GitHub Copilot solleva gli sviluppatori da compiti noiosi e ripetitivi, code scanning autofix aiuterà i team di sviluppo a recuperare il tempo precedentemente dedicato alla correzione. Anche i team che si occupano di sicurezza beneficeranno di un volume ridotto di vulnerabilità quotidiane, in modo da potersi concentrare sulle strategie di protezione dell’azienda tenendo il passo con un ritmo di sviluppo accelerato.
Come funziona questa funzionalità? Quando viene scoperta una vulnerabilità in un linguaggio supportato, i suggerimenti di correzione includono una spiegazione in linguaggio naturale della correzione suggerita, insieme a un’anteprima del suggerimento di codice che lo sviluppatore può accettare, modificare o rifiutare. Oltre alle modifiche al file corrente, questi suggerimenti di codice possono includere modifiche a più file e alle dipendenze da aggiungere al progetto.
Dietro le quinte, code scanning autofix sfrutta il motore CodeQL e una combinazione di euristica e API GitHub Copilot per generare suggerimenti di codice. Per saperne di più su autofix e sulle sue fonti di dati, capacità e limitazioni, è possibile consultare l’articolo About autofix for CodeQL code scanning della documentazione.
Per il prossimo futuro, GitHub ha annunciato che continuerà ad aggiungere il supporto per altri linguaggi, con C# e Go in arrivo.
