GitHub, kodlama sırasında güvenlik açığı düzeltmelerini hızlandırabilen, yapay zeka destekli yeni bir özelliği tanıttı. Bu özellik genel beta sürümündedir ve GitHub Gelişmiş Güvenlik (GHAS) müşterileri için tüm özel depolarda otomatik olarak etkinleştirilir.
Kod Tarama Otomatik Düzeltme olarak bilinen ve GitHub Copilot ve CodeQL tarafından desteklenen bu özellik, JavaScript, Typescript, Java ve Python'daki uyarı türlerinin %90'ından fazlasının üstesinden gelmeye yardımcı olur.
Açıldıktan sonra, GitHub'un iddia ettiği gibi, çok az düzenleme yaparak veya hiç düzenleme yapmadan kodlama sırasında bulunan güvenlik açıklarının üçte ikisinden fazlasını gidereceğini iddia eden potansiyel düzeltmeler sağlar.
GitHub'dan Pierre Tempel ve Eric Tooley, “Desteklenen bir dilde bir güvenlik açığı keşfedildiğinde, düzeltme önerileri, önerilen düzeltmenin doğal dildeki açıklamasını ve geliştiricinin kabul edebileceği, düzenleyebileceği veya reddedebileceği kod önerisinin bir önizlemesini içerecektir.” söz konusu.
Sağladığı kod önerileri ve açıklamalar, geçerli dosyada, birden fazla dosyada ve geçerli projenin bağımlılıklarında yapılan değişiklikleri içerebilir.
Bu yaklaşımın uygulanması, güvenlik ekiplerinin günlük olarak ele alması gereken güvenlik açıklarının sıklığını önemli ölçüde azaltabilir.
Bu da, geliştirme süreci sırasında ortaya çıkan yeni güvenlik kusurlarına ayak uydurmak için gereksiz kaynakları tahsis etmek zorunda kalmak yerine, kuruluşun güvenliğini sağlamaya odaklanabilmelerini sağlar.
Ancak GitHub'un yapay zeka destekli özelliği, güvenlik açığını yalnızca kısmen gideren veya amaçlanan kod işlevselliğini koruyamayan düzeltmeler önerebileceğinden, geliştiricilerin güvenlik sorunlarının çözülüp çözülmediğini her zaman doğrulaması gerektiğini unutmamak da önemlidir.
Tempel ve Tooley, “Kod tarama otomatik düzeltmesi, geliştiricilerin kod yazarken güvenlik açıklarını düzeltmelerini kolaylaştırarak kuruluşların bu “uygulama güvenliği borcunun” büyümesini yavaşlatmasına yardımcı oluyor” diye ekledi.
“GitHub Copilot'un geliştiricileri sıkıcı ve tekrarlayan görevlerden kurtardığı gibi, kod tarama otomatik düzeltmesi de geliştirme ekiplerinin daha önce iyileştirme için harcadıkları zamanı geri kazanmalarına yardımcı olacak.”
Şirket önümüzdeki aylarda ek diller için destek eklemeyi planlıyor; daha sonra C# ve Go desteği gelecek.
GitHub Copilot destekli kod tarama otomatik düzeltme aracı hakkında daha fazla ayrıntıya GitHub'un dokümantasyon web sitesinden ulaşılabilir.
Geçtiğimiz ay şirket, yeni kod aktarılırken erişim belirteçleri ve API anahtarları gibi sırların kazara açığa çıkmasını önlemek amacıyla tüm halka açık depolar için varsayılan olarak push korumasını da etkinleştirdi.
Bu, 2023'te önemli bir sorundu; çünkü GitHub kullanıcıları, yıl boyunca 3 milyondan fazla halka açık depo aracılığıyla yanlışlıkla 12,8 milyon kimlik doğrulamayı ve hassas sırrı ifşa etti.
BleepingComputer'ın bildirdiği gibi, açığa çıkan sırlar ve kimlik bilgileri çok sayıda yüksek etkili ihlal için kullanıldı [1, 2, 3] Son yıllarda.