GitHub, Geliştiricilerin Güvenlik Kusurlarını Yamalamalarına Yardımcı Olmak için Yapay Zeka Destekli Otomatik Düzeltme Aracını Başlattı

GitHub'dan Pierre Tempel ve Eric Tooley, "GitHub Copilot ve CodeQL tarafından desteklenen kod tarama otomatik düzeltmesi, JavaScript, Typescript, Java ve Python'daki uyarı türlerinin %90'ından fazlasını kapsıyor ve bulunan güvenlik açıklarının üçte ikisinden fazlasını çok az düzenlemeyle veya hiç düzenleme yapmadan düzelttiği gösterilen kod önerileri sunuyor" dedi.

İlk olarak Kasım 2023'te önizlemesi yapılan özellik, kod önerileri oluşturmak için CodeQL, Copilot API'leri ve OpenAI GPT-4'ün bir kombinasyonundan yararlanır. Microsoft'un sahip olduğu yan kuruluş, gelecekte C# ve Go dahil olmak üzere daha fazla programlama dili için destek eklemeyi planladığını da söyledi.

Kod tarama otomatik düzeltmesi, geliştiricilerin kod yazarken olası düzeltmeler oluşturarak ve desteklenen bir dilde bir sorun keşfedildiğinde doğal dilde bir açıklama sağlayarak güvenlik açıklarını çözmelerine yardımcı olmak için tasarlanmıştır.

Bu öneriler, diğer birkaç dosyada yapılan değişiklikleri ve sorunu düzeltmek için eklenmesi gereken bağımlılıkları içerecek şekilde geçerli dosyanın ötesine geçebilir.

Şirket, "Kod tarama otomatik düzeltmesi, en iyi uygulamalar hakkındaki bilgileri kod tabanının ayrıntılarıyla birleştirerek geliştiricilere giriş engelini azaltır ve geliştiriciye olası bir düzeltme önermek için uyarır" dedi.

"Geliştirici, güvenlik açığı hakkında bilgi aramakla başlamak yerine, kod tabanları için potansiyel bir çözüm gösteren bir kod önerisiyle başlar."

Bununla birlikte, önerileri değerlendirmek ve bunun doğru çözüm olup olmadığını belirlemek ve amaçlanan davranışından sapmadığından emin olmak geliştiriciye bırakılmıştır.

Transform your code security with GitHub's code scanning autofix (youtube.com)

GitHub ayrıca otomatik düzeltme kodu önerilerinin mevcut sınırlamalarını vurgulayarak, geliştiricilerin değişiklikleri ve bağımlılıkları kabul etmeden önce dikkatlice gözden geçirmelerini zorunlu hale getirdi -

  • Sözdizimsel olarak doğru olmayan kod değişiklikleri önerin
  • Sözdizimsel olarak doğru kod olan ancak yanlış konumda önerilen düzeltmeler önerin
  • Sözdizimsel olarak geçerli olan ancak programın semantiğini değiştiren düzeltmeler önerin
  • Temel nedeni ele alamayan veya yeni güvenlik açıkları ortaya çıkaran düzeltmeler önerin
  • Altta yatan kusuru yalnızca kısmen çözen düzeltmeler önerin
  • Desteklenmeyen veya güvenli olmayan bağımlılıklar önerme
  • Olası tedarik zinciri saldırılarına yol açan keyfi bağımlılıklar önerin

Şirket, "Sistem, daha geniş ekosistemde yayınlanan bağımlılıklar hakkında eksik bilgiye sahip" dedi. "Bu, saldırganların istatistiksel olarak olası bir bağımlılık adı altında yayınladığı kötü amaçlı yazılımlara yeni bir bağımlılık ekleyen önerilere yol açabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği