C’est une mauvaise journée pour les bogues. Plus tôt dans la journée, Sentry a annoncé sa fonction AI Autofix pour le débogage du code de production et maintenant, quelques heures plus tard, GitHub lance la première version bêta de sa fonction autofix d’analyse du code pour trouver et corriger les vulnérabilités de sécurité au cours du processus de codage. Cette nouvelle fonctionnalité combine les capacités en temps réel du Copilot de GitHub avec CodeQL, le moteur d’analyse sémantique du code de l’entreprise. L’entreprise a présenté cette fonctionnalité pour la première fois en novembre dernier.
GitHub promet que ce nouveau système peut remédier à plus de deux tiers des vulnérabilités qu’il trouve – souvent sans que les développeurs n’aient à modifier le code eux-mêmes. L’entreprise promet également que l’analyse automatique du code couvrira plus de 90 % des types d’alertes dans les langages qu’elle prend en charge, à savoir JavaScript, Typescript, Java et Python.
Cette nouvelle fonctionnalité est désormais disponible pour tous les utilisateurs de GitHub Les clients du système de sécurité avancée (GHAS).
Code-scanning autofix in GitHub Copilot. Crédits d’image : GitHub
« Tout comme GitHub Copilot soulage les développeurs de tâches fastidieuses et répétitives, l’autofixation par balayage de code aidera les équipes de développement à récupérer le temps auparavant consacré à la remédiation », écrit GitHub dans l’annonce d’aujourd’hui. « Les équipes de sécurité bénéficieront également d’un volume réduit de vulnérabilités quotidiennes, de sorte qu’elles pourront se concentrer sur des stratégies visant à protéger l’entreprise tout en suivant un rythme de développement accéléré. »
Crédits d’image : GitHub
En arrière-plan, cette nouvelle fonctionnalité utilise le moteur CodeQL, le moteur d’analyse sémantique de GitHub pour trouver des vulnérabilités dans le code, avant même qu’il n’ait été exécuté. L’entreprise a mis à disposition du public une première génération de CodeQL fin 2019 après avoir acquis la startup d’analyse de code Semmle, où CodeQL a été incubé. Au fil des ans, elle a apporté un certain nombre d’améliorations à CodeQL, mais une chose n’a jamais changé : CodeQL n’était disponible gratuitement que pour les chercheurs et les développeurs open source.
Aujourd’hui, CodeQL est au centre de ce nouvel outil, bien que GitHub note également qu’il utilise « une combinaison d’heuristiques et d’algorithmes de recherche ». GitHub Copilot APIs » pour suggérer ses corrections. Pour générer les corrections et leurs explications, GitHub utilise le modèle GPT-4 d’OpenAI. Bien que GitHub soit suffisamment confiant pour affirmer que la grande majorité des suggestions de correction automatique seront correctes, l’entreprise note qu' »un petit pourcentage de corrections suggérées reflètera une incompréhension importante de la base de code ou de la vulnérabilité ».