Il mondo dello sviluppo software sta vivendo un momento di grande fermento grazie all’introduzione di nuove funzionalità basate sull’intelligenza artificiale. In poche ore, due aziende di spicco nel settore, Sentry e GitHub, hanno annunciato l’arrivo di strumenti innovativi per il debug e la correzione automatica delle vulnerabilità di sicurezza nel codice.
GitHub lancia la prima beta di autofix per la scansione del codice
GitHub ha appena presentato la prima versione beta della sua funzione di autofix per la scansione del codice. Questo potente strumento combina le capacità in tempo reale di Copilot, l’assistente virtuale di GitHub, con CodeQL, il motore di analisi semantica del codice dell’azienda.
La promessa è ambiziosa: il sistema sarebbe in grado di correggere più di due terzi delle vulnerabilità individuate, spesso senza richiedere modifiche manuali da parte degli sviluppatori. Inoltre, la scansione automatica del codice dovrebbe coprire oltre il 90% dei tipi di avviso nei linguaggi attualmente supportati: JavaScript, Typescript, Java e Python.
L’introduzione della scansione automatica del codice promette di sollevare gli sviluppatori da compiti ripetitivi e dispendiosi in termini di tempo, permettendo loro di concentrarsi su attività a maggior valore aggiunto. Allo stesso modo, i team di sicurezza potranno beneficiare di una riduzione del volume di vulnerabilità quotidiane da gestire, potendo così dedicare più energie alle strategie per proteggere l’azienda senza rallentare il ritmo di sviluppo.
Il ruolo chiave di CodeQL e l’integrazione con GitHub Copilot
Al centro di questa innovativa funzionalità c’è CodeQL, il potente motore di analisi semantica del codice di GitHub, in grado di individuare le vulnerabilità ancor prima dell’esecuzione del codice stesso. Acquisito nel 2019 insieme alla startup Semmle, CodeQL è stato costantemente migliorato nel corso degli anni e oggi rappresenta un asset fondamentale per GitHub.
Per generare le correzioni suggerite e le relative spiegazioni, GitHub si affida al modello GPT-4 di OpenAI, combinandolo con euristiche e le API di GitHub Copilot. Nonostante la fiducia riposta nella bontà della maggior parte dei suggerimenti, l’azienda riconosce che una piccola percentuale di correzioni potrebbe riflettere incomprensioni significative della base di codice o della vulnerabilità specifica.
Questa nuova funzione è ora disponibile per tutti i clienti di GitHub Advanced Security (GHAS).