La IA de GitHub corrige automáticamente vulnerabilidades en su código

Iniciado por AXCESS, Marzo 21, 2024, 05:54:54 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 21, 2024, 05:54:54 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

GitHub introdujo una nueva función impulsada por IA capaz de acelerar la corrección de vulnerabilidades durante la codificación. Esta función está en versión beta pública y se habilita automáticamente en todos los repositorios privados para los clientes de GitHub Advanced Security (GHAS).

Conocido como Code Scanning Autofix y desarrollado por GitHub Copilot y CodeQL, ayuda a manejar más del 90% de los tipos de alertas en JavaScript, Typecript, Java y Python.

Después de activarlo, proporciona posibles soluciones que, según GitHub, probablemente abordarán más de dos tercios de las vulnerabilidades encontradas mientras se codifica con poca o ninguna edición.

"Cuando se descubre una vulnerabilidad en un idioma compatible, las sugerencias de solución incluirán una explicación en lenguaje natural de la solución sugerida, junto con una vista previa de la sugerencia de código que el desarrollador puede aceptar, editar o descartar", Pierre Tempel y Eric Tooley de GitHub. dicho.

Las sugerencias de código y explicaciones que proporciona pueden incluir cambios en el archivo actual, varios archivos y las dependencias del proyecto actual.

La implementación de este enfoque puede reducir significativamente la frecuencia de las vulnerabilidades que los equipos de seguridad deben manejar a diario.

Esto, a su vez, les permite concentrarse en garantizar la seguridad de la organización en lugar de verse obligados a asignar recursos innecesarios para mantenerse al día con las nuevas fallas de seguridad introducidas durante el proceso de desarrollo.

Sin embargo, también es importante tener en cuenta que los desarrolladores siempre deben verificar si los problemas de seguridad se resuelven, ya que la función impulsada por IA de GitHub puede sugerir correcciones que solo abordan parcialmente la vulnerabilidad de seguridad o no preservan la funcionalidad del código deseada.


"La reparación automática del escaneo de código ayuda a las organizaciones a frenar el crecimiento de esta" deuda de seguridad de las aplicaciones "al facilitar a los desarrolladores corregir las vulnerabilidades mientras codifican", agregaron Tempel y Tooley.

"Así como GitHub Copilot libera a los desarrolladores de tareas tediosas y repetitivas, la corrección automática del escaneo de código ayudará a los equipos de desarrollo a recuperar el tiempo que antes se dedicaba a la corrección".

La compañía planea agregar soporte para idiomas adicionales en los próximos meses, siendo el siguiente el soporte para C# y Go.

Más detalles sobre la herramienta de reparación automática de escaneo de código impulsada por GitHub Copilot están disponibles en el sitio web de documentación de GitHub.

El mes pasado, la compañía también habilitó la protección push de forma predeterminada para todos los repositorios públicos para detener la exposición accidental de secretos como tokens de acceso y claves API al enviar código nuevo.

Este fue un problema importante en 2023, ya que los usuarios de GitHub expusieron accidentalmente 12,8 millones de secretos confidenciales y de autenticación a través de más de 3 millones de repositorios públicos durante todo el año.

Como se ha informado, los secretos y credenciales expuestos han sido explotados para múltiples violaciones de alto impacto en los últimos años.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario