Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

Hardware & Software Mit KI gegen Schwachstellen im Sourcecode: GitHub startet Code Scanning Autofix



Kunden von GitHub Advanced Security erhalten automatische Vorschläge zum Beheben von Schwachstellen.
Grundlage sind Copilot und die Analyse-Engine CodeQL.

GitHub hat Code Scanning Autofix gestartet, das automatisch Code auf Schwachstellen untersucht und Verbesserungsvorschläge unterbreitet.
Das Tool steht ausschließlich Kunden von GitHub Advanced Security zur Verfügung und befindet sich in der öffentlichen Betaphase.

Erstmals angekündigt hatte GitHub die Funktion im November auf der GitHub Universe.
Seinerzeit war nur von JavaScript und TypeScript die Rede.
Zum Start der Beta sind Java und Python hinzugekommen und weitere Programmiersprachen wie C# und Go befinden sich in Vorbereitung.

Security-Analyse trifft KI-Codeassistenten​

Code Scanning Autofix kombiniert GitHubs Security-Analyse-Engine CodeQL, die GitHub 2019 mit der Übernahme von Semmle ins Portfolio aufgenommen hatte, mit dem KI-Codeassistenten GitHub Copilot.

Wenn die Analyse-Engine eine Schwachstelle findet, erstellt Code Scanning Autofix einen Verbesserungsvorschlag mit Erklärung der Schwachstelle und Hinweisen zu erforderlichen Maßnahmen, alles in natürlicher Sprache.
Dafür setzt es auf eine Kombination aus heuristischen Ansätzen und GitHub Copilot.

Die Vorschläge sind dabei nicht unbedingt auf einen Codeabschnitt beschränkt, sondern können mehrere Dateien einbeziehen.

Letzte Instanz Developer​

Trotz des Namens behebt Code Scanning Autofix die Schwachstellen nicht selbsttätig, sondern überlässt den Entwicklerinnen und Entwicklern die Wahl, ob sie die vorgeschlagenen Änderungen annehmen, ablehnen oder zunächst editieren möchten.

Laut der Ankündigung im GitHub-Blog erkennt Code Scanning Autofix im Schnitt 90 Prozent der Warnungen aus der Default-Code-Sanning-Suite zu CodeQL für JavaScript, TypeScript, Python und Java.
Etwa Zweidrittel der Schwachstellen behebt das Tool so, dass nur wenige oder gar keine manuellen Anpassungen mehr notwendig sind.

Kunden von GitHub Advanced Security erhalten automatisch Zugang zur Beta.
GitHub hat einen eigenen Diskussionsbereich für das Werkzeug eingerichtet, und einer der ersten Beiträge fragt, wann Open-Source-Maintainer Zugriff auf das Tool erhalten.

Quelle: heise online
 
Zum Vergrößern anklicken....
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

  • Artikel
Hardware & Software Cybercrime und staatliche Hacker: Neue Tools und Techniken
Antworten
0
Aufrufe
3K
u040201
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…