O GitHub anunciou o lançamento da primeira versão beta de seu recurso autofix de verificação de código, projetado para identificar e remediar vulnerabilidades de segurança durante o processo de codificação. Este novo recurso combina os recursos em tempo real do GitHub Copilot com o CodeQL, o mecanismo de análise de código semântico da empresa, apresentado pela primeira vez em novembro passado.
A empresa afirma que o novo sistema é capaz de corrigir mais de dois terços das vulnerabilidades que encontrar, muitas vezes sem a necessidade de intervenção direta dos desenvolvedores. Além disso, promete que a correção automática cobrirá mais de 90% dos tipos de alertas nas linguagens atualmente suportadas, incluindo JavaScript, Typescript, Java e Python.
O recurso já está disponível para todos os clientes do GitHub Advanced Security (GHAS), visando otimizar o tempo gasto anteriormente na correção de vulnerabilidades e permitindo que as equipes de segurança se concentrem em estratégias para proteger os negócios.
Por trás dessa novidade, o GitHub utiliza o mecanismo CodeQL para encontrar vulnerabilidades no código antes mesmo de ele ser executado. O CodeQL, disponibilizado ao público pela primeira vez no final de 2019 após a aquisição da startup Semmle pelo GitHub, é a base desta nova ferramenta, que também incorpora sugestões de correção baseadas em heurísticas e APIs do GitHub Copilot.
Para gerar as correções e suas explicações, o GitHub emprega o modelo GPT-4 da OpenAI. No entanto, a empresa observa que uma pequena porcentagem das correções sugeridas pode refletir mal-entendidos significativos da base de código ou da vulnerabilidade.