Du musst Regestriert sein, um das angehängte Bild zusehen.
Kunden von GitHub Advanced Security erhalten automatische Vorschläge zum Beheben von Schwachstellen.
Grundlage sind Copilot und die Analyse-Engine CodeQL.
GitHub hat Code Scanning Autofix gestartet, das automatisch Code auf Schwachstellen untersucht und Verbesserungsvorschläge unterbreitet.
Das Tool steht ausschließlich Kunden von GitHub Advanced Security zur Verfügung und befindet sich in der öffentlichen Betaphase.
Erstmals angekündigt hatte GitHub die Funktion im November auf der GitHub Universe.
Seinerzeit war nur von JavaScript und TypeScript die Rede.
Zum Start der Beta sind Java und Python hinzugekommen und weitere Programmiersprachen wie C# und Go befinden sich in Vorbereitung.
Security-Analyse trifft KI-Codeassistenten
Code Scanning Autofix kombiniert GitHubs Security-Analyse-Engine CodeQL, die GitHub 2019 mit der Übernahme von Semmle ins Portfolio aufgenommen hatte, mit dem KI-Codeassistenten GitHub Copilot.Wenn die Analyse-Engine eine Schwachstelle findet, erstellt Code Scanning Autofix einen Verbesserungsvorschlag mit Erklärung der Schwachstelle und Hinweisen zu erforderlichen Maßnahmen, alles in natürlicher Sprache.
Dafür setzt es auf eine Kombination aus heuristischen Ansätzen und GitHub Copilot.
Die Vorschläge sind dabei nicht unbedingt auf einen Codeabschnitt beschränkt, sondern können mehrere Dateien einbeziehen.
Letzte Instanz Developer
Trotz des Namens behebt Code Scanning Autofix die Schwachstellen nicht selbsttätig, sondern überlässt den Entwicklerinnen und Entwicklern die Wahl, ob sie die vorgeschlagenen Änderungen annehmen, ablehnen oder zunächst editieren möchten.Laut der Ankündigung im GitHub-Blog erkennt Code Scanning Autofix im Schnitt 90 Prozent der Warnungen aus der Default-Code-Sanning-Suite zu CodeQL für JavaScript, TypeScript, Python und Java.
Etwa Zweidrittel der Schwachstellen behebt das Tool so, dass nur wenige oder gar keine manuellen Anpassungen mehr notwendig sind.
Kunden von GitHub Advanced Security erhalten automatisch Zugang zur Beta.
GitHub hat einen eigenen Diskussionsbereich für das Werkzeug eingerichtet, und einer der ersten Beiträge fragt, wann Open-Source-Maintainer Zugriff auf das Tool erhalten.
Quelle: heise online