Herramienta de IA de GitHub puede corregir vulnerabilidades de código automáticamente
Los bugs parecen que están teniendo un mal día. Esto debido a que importantes empresas investigadoras han anunciado funciones para arreglarlos, las cuales están basadas en inteligencia artificial. Un ejemplo de ello es AI Autofix, la cual sirve para depurar código de producción.
GitHub ha lanzado la primera versión beta de su función Autofix de escaneo de código, con la función de encontrar y reparar vulnerabilidades de seguridad durante el proceso de generación de código. Esta nueva herramienta combina las capacidades en tiempo real de la herramienta Copilot de GitHub con CodeQL, un motor de análisis de código semántico de la empresa.
La plataforma promete, entre otras cosas, que este nuevo sistema puede arreglar más de 2 tercios de las vulnerabilidades y posibles brechas de seguridad que encuentre. A menudo, sin que los desarrolladores tengan que volver a editar código alguno por ellos mismos.
La organización ha prometido también que la reparación automática del escaneo del código va a cubrir más del 90% de los tipos de alertas, según los lenguajes de programación que admite. Actualmente, dichos lenguajes son JavaScript, Typecript, Java y Python. Asimismo, esta nueva característica está disponible ahora para todos los clientes de GitHub Advanced Security o GHAS.
Los especialistas de la plataforma señalan que, así como GitHub Copilot ha liberado a los desarrolladores de tareas tediosas y repetitivas, la corrección automática del escaneo de código va a ayudar a los equipos de desarrollo a recuperar el tiempo que antes se estaba dedicando a arreglar los bugs.
Asimismo, los equipos de seguridad van a beneficiarse también de un volumen reducido de las vulnerabilidades comunes y cotidianas, de modo tal que puedan centrarse en diseñar estrategias para proteger a las empresas, mientras se mantienen al día y con un ritmo acelerado de desarrollo.
Igualmente, y en segundo plano, esta nueva característica emplea el motor llamado CodeQl, el cual es un motor de análisis semántico de GitHub para encontrar diversas vulnerabilidades en el código, incluso, puede encontrar dichas vulnerabilidades antes de que el código se haya ejecutado.
De esta manera, la compañía ha puesto a disposición el público en general una primera generación del motor CodeQL a finales del año 2019, luego de adquirir la startup de análisis de código llamado Semmple, que es el lugar en donde nació CodeQL.
A lo largo de los años, se ha realizado una serie de mejoras en CodeQL, pero algo que nunca cambió ha sido que el mismo CodeQL solo estaba disponible de forma gratuita para desarrolladores de código e investigadores.
TIC Defense se especializa en fortalecer los sistemas de defensa existentes en tu infraestructura informática. De igual manera, ponemos a tu disposición todo lo necesario para construir un entorno de ciberseguridad adecuado para tu organización, si no tienes un ecosistema de protección adecuado a tus necesidades.
Ahora, esta nueva herramienta para corregir vulnerabilidades y bugs tiene su centro en CodeQL, en donde tiene una combinación de heurística y de la API de GitHub Copilot para la corrección de errores y vulnerabilidades. Es por esta razón que GitHub utiliza el modelo GPT-4 de OpenAI para generar las comprobaciones y las explicaciones de las mismas.
