GitHub ha introducido una nueva función basada en IA capaz de acelerar la corrección de vulnerabilidades durante la codificación. La función está en beta pública y se activa automáticamente en todos los repositorios privados para los clientes de GitHub Advanced Security (GHAS).
Conocida como Code Scanning Autofix e impulsada por GitHub Copilot y CodeQL, gestiona más del 90% de los tipos de alerta en JavaScript, Typescript, Java y Python.
Una vez activado, proporciona posibles parches que, según GitHub, deberían permitir resolver más de dos tercios de las vulnerabilidades detectadas mientras se codifica con poca o ninguna edición.
«Cuando se descubre una vulnerabilidad en un lenguaje compatible, las sugerencias de corrección incluyen una explicación en lenguaje natural de la corrección sugerida, así como una vista previa de la sugerencia de código que el desarrollador puede aceptar, modificar o rechazar», explican Pierre Tempel y Eric Tooley, de GitHub.
Las sugerencias de código y las explicaciones que proporciona pueden incluir cambios en el archivo actual, en varios archivos y en las dependencias del proyecto actual.
La aplicación de este enfoque puede reducir significativamente la frecuencia de vulnerabilidades que los equipos de seguridad tienen que gestionar a diario.
Esto les permite centrarse en la seguridad de la organización en lugar de verse obligados a asignar recursos innecesarios al seguimiento de nuevos fallos de seguridad introducidos durante el proceso de desarrollo.
Sin embargo, también es importante señalar que los desarrolladores deben comprobar siempre si los problemas de seguridad están resueltos, ya que la función de IA de GitHub puede sugerir parches que solo solucionen parcialmente la vulnerabilidad de seguridad o que no preserven la funcionalidad prevista del código.
«Code Scan Autofix ayuda a las organizaciones a frenar el crecimiento de esta «deuda de seguridad de las aplicaciones» facilitando a los desarrolladores la corrección de vulnerabilidades a medida que codifican», añaden Tempel y Tooley.
«Al igual que GitHub Copilot libera a los desarrolladores de tareas tediosas y repetitivas, la autofijación de escaneo de código ayudará a los equipos de desarrollo a recuperar el tiempo que antes dedicaban a la remediación.»
La compañía planea añadir soporte para otros lenguajes en los próximos meses, incluyendo soporte para C# y Go.
Más información sobre la herramienta de análisis de código y corrección automática impulsada por GitHub Copilot en el sitio de documentación de GitHub.
El mes pasado, la empresa también habilitó la protección push por defecto para todos los repositorios públicos con el fin de evitar la exposición accidental de secretos como tokens de acceso y claves API al enviar código nuevo.
Este fue un problema importante en 2023, ya que los usuarios de GitHub expusieron accidentalmente 12,8 millones de autenticaciones y secretos sensibles a través de más de 3 millones de repositorios públicos a lo largo del año.
Como informó CiberNovedades, los secretos y credenciales expuestos han sido explotados para múltiples brechas de alto impacto en los últimos años.