GitHub, la piattaforma di sviluppo di software leader a livello mondiale, ha lanciato una nuova funzionalità rivoluzionaria per il suo servizio di sicurezza avanzato: l’IA di GitHub per la risoluzione automatica delle vulnerabilità del codice. Questo strumento combina le capacità in tempo reale di GitHub Copilot con CodeQL, il motore di analisi semantica del codice della società, per individuare e risolvere automaticamente le vulnerabilità di sicurezza durante il processo di scrittura del codice.
La potenza dell’AI per risolvere i bug
GitHub promette che questo nuovo sistema sarà in grado di risolvere più di due terzi delle vulnerabilità individuate, spesso senza che gli sviluppatori debbano modificare alcun codice. Inoltre, questa funzionalità coprirà oltre il 90% dei tipi di allerta per i linguaggi di programmazione supportati, tra cui JavaScript, TypeScript, Java e Python.
“Proprio come GitHub Copilot libera gli sviluppatori da compiti noiosi e ripetitivi, la risoluzione automatica delle vulnerabilità del codice aiuterà i team di sviluppo a recuperare tempo precedentemente speso per la correzione degli errori“, afferma GitHub.
Questa nuova funzionalità utilizza il motore CodeQL di GitHub per individuare le vulnerabilità nel codice, anche prima che venga eseguito. CodeQL è stato reso disponibile al pubblico nel 2019 dopo l’acquisizione della startup di analisi del codice Semmle. Nel corso degli anni, GitHub ha apportato miglioramenti a CodeQL, che ora è al centro di questa nuova soluzione.
GitHub Copilot e l’IA di GitHub
Per suggerire le correzioni, GitHub utilizza una combinazione di euristiche e API di GitHub Copilot. Per generare le correzioni e le relative spiegazioni, GitHub si affida al modello GPT-4 di OpenAI. Sebbene GitHub si mostri fiduciosa nel fatto che la maggior parte delle correzioni suggerite sarà corretta, l’azienda ammette che “una piccola percentuale di correzioni suggerite potrebbe riflettere una significativa incomprensione del codice sorgente o della vulnerabilità“. Questa nuova funzionalità è ora disponibile per tutti i clienti di GitHub Advanced Security (GHAS).
Come funziona il nuovo strumento AI di GitHub
Il nuovo strumento AI di GitHub per la risoluzione automatica delle vulnerabilità del codice sfrutta CodeQL per individuare le vulnerabilità nel codice sorgente. Utilizza inoltre heuristics e API di GitHub Copilot per suggerire le correzioni. GitHub si affida al modello GPT-4 di OpenAI per generare le correzioni e le relative spiegazioni.
Il processo inizia con l’analisi del codice sorgente da parte di CodeQL. Questo motore di analisi semantica del codice identifica potenziali vulnerabilità e genera un elenco di allerte. Successivamente, GitHub Copilot viene coinvolto per suggerire correzioni specifiche per ciascuna allerta. Le correzioni proposte vengono generate utilizzando il modello GPT-4 di OpenAI, addestrato su un vasto insieme di dati di codice sorgente. Infine, gli sviluppatori possono accettare o rifiutare le correzioni suggerite da GitHub Copilot.
Vantaggi per gli sviluppatori e i team di sicurezza
La risoluzione automatica delle vulnerabilità del codice rappresenta un enorme vantaggio per gli sviluppatori e i team di sicurezza. Gli sviluppatori possono risparmiare tempo prezioso che altrimenti sarebbe stato speso nella correzione manuale delle vulnerabilità. Questo consente loro di concentrarsi su compiti più creativi e di maggior valore per il progetto.
I team di sicurezza beneficiano anche di questa funzionalità, poiché riduce il volume di vulnerabilità quotidiane che devono essere affrontate. Ciò consente loro di concentrarsi sulla definizione di strategie per proteggere il business, mantenendo un ritmo accelerato di sviluppo.