أحدث أدوات الذكاء الاصطناعي في GitHub والتي يمكنها إصلاح الثغرات الأمنية في التعليمات البرمجية تلقائيًا
إنه يوم سيء بالنسبة للبق. في وقت سابق من اليوم، أعلنت Sentry عن ميزة AI Autofix الخاصة بها لتصحيح أخطاء كود الإنتاج، والآن، بعد ساعات قليلة، تطلق GitHub الإصدار التجريبي الأول من ميزة الإصلاح التلقائي لمسح الكود الخاص بها للعثور على الثغرات الأمنية وإصلاحها أثناء عملية البرمجة. تجمع هذه الميزة الجديدة بين إمكانيات الوقت الفعلي لبرنامج Copilot الخاص بـ GitHub وCodeQL، وهو محرك تحليل التعليمات البرمجية الدلالي الخاص بالشركة. قامت الشركة بمعاينة هذه الإمكانية لأول مرة في نوفمبر الماضي.
يعد GitHub بأن هذا النظام الجديد يمكنه معالجة أكثر من ثلثي الثغرات الأمنية التي يجدها – غالبًا دون أن يضطر المطورون إلى تعديل أي تعليمات برمجية بأنفسهم. تعد الشركة أيضًا بأن الإصلاح التلقائي لمسح التعليمات البرمجية سيغطي أكثر من 90% من أنواع التنبيهات باللغات التي تدعمها، والتي هي حاليًا JavaScript وTypescript وJava وPython.
هذه الميزة الجديدة متاحة الآن للجميع جيثب عملاء الأمان المتقدم (GHAS).
الإصلاح التلقائي لمسح الكود في GitHub Copilot.
“نحن فقط جيثب يريح برنامج Copilot المطورين من المهام الشاقة والمتكررة، وسيساعد الإصلاح التلقائي لمسح التعليمات البرمجية فرق التطوير على استعادة الوقت الذي كان يقضيه سابقًا في المعالجة،” حسبما كتب GitHub في إعلان اليوم. “ستستفيد فرق الأمن أيضًا من انخفاض حجم نقاط الضعف اليومية، حتى يتمكنوا من التركيز على استراتيجيات حماية الأعمال مع مواكبة وتيرة التطوير المتسارعة.”
اعتمادات الصورة: جيثب
في الخلفية، تستخدم هذه الميزة الجديدة محرك CodeQL، وهو محرك التحليل الدلالي الخاص بـ GitHub للعثور على الثغرات الأمنية في التعليمات البرمجية، حتى قبل تنفيذها. أتاحت الشركة الجيل الأول من CodeQL للجمهور في أواخر عام 2019 بعد أن استحوذت على شركة Semmle الناشئة لتحليل التعليمات البرمجية، حيث تم احتضان CodeQL. على مر السنين، قامت بعدد من التحسينات على CodeQL، ولكن الشيء الوحيد الذي لم يتغير أبدًا هو أن CodeQL كان متاحًا مجانًا فقط للباحثين ومطوري المصادر المفتوحة.
الآن، أصبحت CodeQL في قلب هذه الأداة الجديدة، على الرغم من أن GitHub يشير أيضًا إلى أنها تستخدم “مزيجًا من الاستدلالات والتقنيات”. جيثب واجهات برمجة تطبيقات Copilot” لاقتراح إصلاحاتها. لإنشاء الإصلاحات وتفسيراتها، يستخدم GitHub نموذج OpenAI’s GPT-4. وعلى الرغم من أن GitHub واثق بشكل واضح بما يكفي للإشارة إلى أن الغالبية العظمى من اقتراحات الإصلاح التلقائي ستكون صحيحة، إلا أن الشركة لا ترى أن “نسبة صغيرة من الإصلاحات المقترحة ستعكس سوء فهم كبير لقاعدة التعليمات البرمجية أو الثغرة الأمنية”.
