GitHub lanza herramienta de corrección automática para parchar fallas

GitHub ha anunciado el lanzamiento de una función llamada corrección automática de escaneo de código en versión beta pública, disponible para todos los clientes de Advanced Security. Esta función proporciona recomendaciones específicas para evitar la introducción de nuevos problemas de seguridad.

Impulsada por GitHub Copilot y CodeQL, la corrección automática de escaneo de código abarca más del 90% de los tipos de alertas en JavaScript, Typescript, Java y Python. Según Pierre Tempel y Eric Tooley de GitHub, ofrece sugerencias de código que han demostrado remediar más de dos tercios de las vulnerabilidades encontradas con poca o ninguna edición.

Esta capacidad, presentada por primera vez en noviembre de 2023, aprovecha una combinación de CodeQL, la API de Copilot y OpenAI GPT-4 para generar sugerencias de código. GitHub, una subsidiaria de Microsoft, también ha anunciado planes para agregar soporte para más lenguajes de programación, como C# y Go, en el futuro.

La función de corrección automática del escaneo de código está diseñada para ayudar a los desarrolladores a abordar vulnerabilidades mientras codifican, generando posibles correcciones y proporcionando explicaciones en lenguaje natural cuando se detecta un problema en un lenguaje compatible.

Estas recomendaciones pueden extenderse más allá del archivo actual e incluir cambios en varios otros archivos, así como las dependencias necesarias para corregir el problema.

"La función de corrección automática del escaneo de código reduce la dificultad para los desarrolladores al proporcionar información sobre las mejores prácticas junto con detalles del código base y alertas, sugiriendo así posibles soluciones", afirmó la compañía.

"En lugar de iniciar con una investigación sobre la vulnerabilidad, los desarrolladores comienzan con una sugerencia de código que presenta una posible solución para su código base".

Sin embargo, se deja en manos del desarrollador evaluar las recomendaciones y determinar si constituyen la solución adecuada, asegurándose de que no se aparten del comportamiento previsto.


GitHub también resaltó las restricciones presentes en las sugerencias de corrección automática de código, por lo tanto, es crucial que los desarrolladores revisen minuciosamente los cambios y las dependencias antes de aceptarlos.

• Proponer soluciones que no sean cambios de código sintácticamente correctos.
• Proponer correcciones que, aunque sean sintácticamente correctas, se sugieran en la ubicación incorrecta.
• Proponer soluciones que sean sintácticamente válidas pero que alteren la semántica del programa.
• Presentar soluciones que no aborden la causa raíz del problema o que introduzcan nuevas vulnerabilidades.
• Ofrecer soluciones que solo resuelvan parcialmente la falla subyacente.
• Recomendar dependencias no admitidas o consideradas inseguras.
• Sugerir dependencias arbitrarias, lo que podría dar lugar a posibles ataques a la cadena de suministro.

La empresa señaló que el sistema carece de información completa sobre las dependencias publicadas en el ecosistema más amplio. Esto podría resultar en sugerencias que añadan una nueva dependencia de software malicioso publicada por atacantes bajo un nombre de dependencia estadísticamente probable

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta