GitHub вводит сканирование кода

GitHub объявил о запуске публичной бета-версии сканера кода, который автоматически исправляет проблемы. Новая функция была анонсирована еще в ноябре, но теперь перешла в статус публичной бета-версии.

Бета-версия, предназначенная для пользователей GitHub Advanced Security, призвана помочь разработчикам устранить более двух третей поддерживаемых предупреждений без необходимости внесения каких-либо изменений.

Новая функция работает на базе GitHub Copilot и CodeQL, и GitHub утверждает, что она охватывает более 90 % типов предупреждений на JavaScript, Typescript, Java и Python. Инструмент также предлагает предложения по коду, которые, как было показано, устраняют более двух третей найденных уязвимостей практически без редактирования.

Сканирование кода можно планировать на определенные дни и время или запускать сканирование при наступлении определенного события в репозитории, например push. Если сканирование кода обнаруживает потенциальную уязвимость или ошибку в коде, GitHub отображает предупреждение в репозитории. После устранения проблемы, вызвавшей предупреждение, GitHub закрывает предупреждение. Разработчики также могут отслеживать результаты сканирования кода в репозиториях или во всей организации с помощью веб-крючков и API сканирования кода.

Принцип работы инструмента заключается в том, что если уязвимость обнаружена в коде, написанном на одном из поддерживаемых языков, то для поиска подходящих потенциальных исправлений используется искусственный интеллект. Затронутый код и описание проблемы отправляются за кулисы большой языковой модели (LLM), чтобы она предложила правки кода, которые устранят проблему, не меняя функциональности кода. Изменения кода предлагаются вместе с объяснением предложенного исправления на естественном языке. Разработчик может просмотреть предварительный просмотр предложенного кода, принять, отредактировать или отклонить его. Предложения по коду могут включать изменения нескольких файлов и зависимостей, которые необходимо добавить в проект.

ИИ, используемый инструментом сканирования кода, использует движок CodeQL и API GitHub Copilot для генерации предложений по коду.

GitHub планирует добавить поддержку большего количества языков, в том числе C# и Go.

Переведено с помощью DeepL.com (бесплатная версия)