Genel resim:Yazılım geliştirme günümüzde inanılmaz bir hızla ilerliyor ve geliştiriciler sürekli olarak yeni özellikler yayınlıyor. Ancak, en iyi çabalarına rağmen, güvenlik açıkları hala üretim koduna sızmayı başarıyor ve ihlallerin önde gelen nedenlerinden biri olmaya devam ediyor. Tarama araçları bu kusurları tespit edebilirken, bunları gerçekten düzeltmek özel güvenlik uzmanlığı ve önemli zaman gerektirir. Başka bir deyişle, zorluk her zaman güvenlik açıklarını belirlemek değil; bunları hızla düzeltmektir.
GitHub, yeni kullanıma sunulan Copilot Autofix aracıyla yardımcı olmayı hedefliyor. Artık GitHub Advanced Security’ye entegre edilen bu yapay zeka destekli özellik, geliştiricilerin kod hatalarını daha hızlı çözmelerine yardımcı olmak için tasarlandı.
Copilot Autofix, çekme isteklerinde tespit edilen güvenlik kusurlarını analiz eder ve önerilen düzeltmelerle birlikte açıklamalar sağlar. Geliştiriciler daha sonra AI tarafından oluşturulan önerileri yalnızca birkaç tıklamayla reddetmeyi, ayarlamayı veya işleme koymayı seçebilir.
Araç, SQL enjeksiyonu ve siteler arası betik çalıştırma (XSS) kusurları dahil olmak üzere çok çeşitli güvenlik açığı sınıflarını ele alır. Hem yeni ortaya çıkan sorunları ortadan kaldırmaya hem de mevcut güvenlik borcunun birikimini ele almaya yardımcı olur. Bu güvenlik açıklarını zamanında ele almak, maliyetli güvenlik ihlalleri riskini önemli ölçüde azaltabilir.
GitHub, bu yılın başlarında gerçekleştirdiği genel beta aşamasında, geliştiricilerin Copilot Autofix ile güvenlik açıklarını manuel düzeltmeye kıyasla üç kat daha hızlı çözdüğünü tespit etti.
Belirli hata türleri için zaman tasarrufu daha da etkileyiciydi. Örneğin, manuel olarak düzeltilmesi ortalama üç saat süren XSS hataları, Autofix ile sadece 22 dakikaya düşürüldü. Benzer şekilde, SQL enjeksiyon hataları için düzeltme süreleri 3,7 saatten ortalama 18 dakikaya düştü. Erken benimseyenler, aracı kullanmaktan önemli faydalar elde etmeye başladı bile.
Optum’un baş mühendisi Kevin Cooper, “Copilot Autofix’i uygulamaya koyduğumuzdan beri, güvenlikle ilgili kod incelemelerine harcanan sürede %60’lık bir azalma ve genel geliştirme verimliliğinde %25’lik bir artış gözlemledik.” dedi.
Copilot Autofix’in mevcut kod üzerinde çalışmasını sağlamak için geliştiriciler, GitHub kod tarama uyarısında “Düzeltme oluştur” düğmesine tıklamaları yeterlidir. Daha sonra, “Düzeltmeyle PR oluştur” düğmesine tekrar tıklandığında, gerekli tüm değişiklikler yeni bir çekme isteğine dahil edilir.
Araç, temelde sezgisel yöntemleri, GitHub’ın Copilot AI’sını, CodeQL analiz motorunu ve GPT-4’ü birleştirerek akıllı düzeltme önerileri üretiyor.
Bu özellik, Microsoft’a ait GitHub’ın daha güvenli bir açık kaynak ekosistemi oluşturma taahhüdüyle uyumludur. Önümüzdeki aydan itibaren Copilot Autofix, platformda barındırılan tüm açık kaynak projelerine ücretsiz olarak sunulacaktır.