“Gevonden is opgelost”, luidt het credo van het nieuwe GitHub Copilot Autofix. Ontwikkelaars zouden drie keer zo snel veilige programmeercode afleveren dankzij deze AI-gedreven tool.
Autofix bevindt zich niet in het standaard aanbod van GitHub Copilot. Enterprise-accounts kunnen kiezen voor GitHub Advanced Security (GHAS), dat voortaan nog sneller en duidelijker kwetsbaarheden opspoort. Tijdens de publieke bèta bleken Autofix-gebruikers kwetsbaarheden drie keer sneller op te lossen dan gebruikers die dit handmatig moesten doen. Wat is het geheim van de tool?
Tekst en uitleg
De belofte achter Autofix richt zich niet alleen op de snelheid ervan. De reden voor deze sneltreinvaart: ontwikkelaars weten sneller waarom een kwetsbaarheid zich voordoet, niet alleen dát er sprake van een potentieel risico is. Autofix legt een codekwetsbaarheid uit en suggereert direct een alternatief.
Voorkomen is beter dan genezen, weet ook GitHub. Autofix is dus met name bedoeld als preventiemiddel voor verschillende soorten kwetsbaarheden. GitHub zelf haalt bijvoorbeeld SQL-injections en cross-site scripting aan. Het invoeren van een oplossing op basis van een GitHub-alert kost normaliter 1,5 uur, maar dankzij Autofix 28 minuten. Voor cross-site scripting is de snelheidswinst nog groter: 22 minuten tegenover drie uur; kwetsbaarheden gerelateerd aan SQL-injecties kosten met Autofix slechts 18 minuten om op te lossen, terwijl dat gewoonlijk 3,7 uur duurt.
Bestaande problemen
Ook als het gaat om bestaande kwetsbaarheden kan Autofix te hulp schieten. Een scanning alert binnen GHAS bevat met Autofix een “Generate fix”-knop met dezelfde functionaliteit als Autofix elders. Het is daarnaast mogelijk om een pull request te creëren met de nieuwe AI-gedreven fix. Doordat legacy code ook dankzij AI opgeschoond kan worden, ziet GitHub de kans voor organisaties om “jaren aan opgebouwde security-schuld” te elimineren.
Lees ook: Developers krijgen opnieuw geen gelijk in GitHub Copilot-copyrightzaak