Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Mit KI gegen Schwachstellen im Sourcecode: GitHub startet Code Scanning Autofix

1711066197357.png

Kunden von GitHub Advanced Security erhalten automatische Vorschläge zum Beheben von Schwachstellen.
Grundlage sind Copilot und die Analyse-Engine CodeQL.

GitHub hat Code Scanning Autofix gestartet, das automatisch Code auf Schwachstellen untersucht und Verbesserungsvorschläge unterbreitet.
Das Tool steht ausschließlich Kunden von GitHub Advanced Security zur Verfügung und befindet sich in der öffentlichen Betaphase.

Erstmals angekündigt hatte GitHub die Funktion im November auf der GitHub Universe.
Seinerzeit war nur von JavaScript und TypeScript die Rede.
Zum Start der Beta sind Java und Python hinzugekommen und weitere Programmiersprachen wie C# und Go befinden sich in Vorbereitung.

Security-Analyse trifft KI-Codeassistenten​

Code Scanning Autofix kombiniert GitHubs Security-Analyse-Engine CodeQL, die GitHub 2019 mit der Übernahme von Semmle ins Portfolio aufgenommen hatte, mit dem KI-Codeassistenten GitHub Copilot.

Wenn die Analyse-Engine eine Schwachstelle findet, erstellt Code Scanning Autofix einen Verbesserungsvorschlag mit Erklärung der Schwachstelle und Hinweisen zu erforderlichen Maßnahmen, alles in natürlicher Sprache.
Dafür setzt es auf eine Kombination aus heuristischen Ansätzen und GitHub Copilot.

Die Vorschläge sind dabei nicht unbedingt auf einen Codeabschnitt beschränkt, sondern können mehrere Dateien einbeziehen.

Letzte Instanz Developer​

Trotz des Namens behebt Code Scanning Autofix die Schwachstellen nicht selbsttätig, sondern überlässt den Entwicklerinnen und Entwicklern die Wahl, ob sie die vorgeschlagenen Änderungen annehmen, ablehnen oder zunächst editieren möchten.

Laut der Ankündigung im GitHub-Blog erkennt Code Scanning Autofix im Schnitt 90 Prozent der Warnungen aus der Default-Code-Sanning-Suite zu CodeQL für JavaScript, TypeScript, Python und Java.
Etwa Zweidrittel der Schwachstellen behebt das Tool so, dass nur wenige oder gar keine manuellen Anpassungen mehr notwendig sind.

Kunden von GitHub Advanced Security erhalten automatisch Zugang zur Beta.
GitHub hat einen eigenen Diskussionsbereich für das Werkzeug eingerichtet, und einer der ersten Beiträge fragt, wann Open-Source-Maintainer Zugriff auf das Tool erhalten.

Quelle: heise online
 
Zum Vergrößern anklicken....

Ähnliche Themen

u040201
  • Artikel
Hardware & Software Cybercrime und staatliche Hacker: Neue Tools und Techniken
Antworten
0
Aufrufe
3K
u040201
u040201
Zurück
Oben