GitHub har lansert Copilot Autofix, et AI-basert verktøy de hevder skal gjøre det mulig å fikse sårbarheter i kode mer enn tre ganger raskere enn før.
Løsningen ble tilgjengelig i offentlig betaversjon i mars i år, men er nå altså lansert i endelig versjon for alle GitHub Enterprise-kunder som abonnerer på GitHub Advanced Security (GHAS).
– Kode-skanningsverktøy oppdager sårbarheter, men de adresserer ikke det grunnleggende problemet: Utbedring krever sikkerhetsekspertise og tid, to verdifulle ressurser som er kritisk mangelvare, skriver CSO i GitHub, Mike Hanley i lanserings-bloggposten.
– Med andre ord: Det å finne sårbarheter er ikke problemet. Å fikse dem er det, fortsetter han.
Foreslår feilrettinger
Copilot Autofix vil automatisk analysere koden din. Hvis den finner sårbarheter, kan du trykke en "Generate fix"-knapp. Du vil da få opp et forslag til løsning, med en forklaring.
Er du fornøyd med den foreslåtte feilrettingen, kan du trykke en "Create PR with fix"-knapp for å automatisk lage en ny pull request som inkluderer også sikkerhetsfiksen.
Copilot Autofix bruker GitHubs kodeskanner CodeQL under panseret, sammen med GPT-4o og en kombinasjon av heuristikk og Copilot API-er for å lage kodeforslagene.
Utviklere har talt: Denne slår Copilot ned i støvlene
Gode testresultater
GitHub skriver at Autofix kan oppdage og lage forslag til feilrettinger for mange ulike typer sårbarheter, som SQL injection- og cross-site-scripting-sårbarheter.
Ifølge GitHub viser kundedata fra betaperioden at mediantiden det tar for utviklere å committe en fiks fra de får en advarsel etter en pull request er redusert fra 1,5 timer til 28 minutter med Autofix – altså rundt tre ganger raskere.
Det å fikse cross-site-scripting-sårbarheter tok tidligere rundt tre timer, mot 22 minutter, hevder GitHub. SQL injection-sårbarheter ble fikset enda raskere – ned fra 3,7 timer til 18 minutter, det vil si 12 ganger raskere enn før.
Melker sensitiv data fra Copilot: «Vanskelig å lage dem trygge»
Gir bort gratis til open source
Men for de som nå har lyst til å kaste seg over Copilot Autofix, så er det langt fra noen billig fornøyelse:
Enterprise-utgaven av GitHub koster i utgangspunkt 21 dollar i måneden per bruker, og i tillegg kommer 49 dollar i måneden per aktive "committer" hvis du vil ha Autofix. Vi snakker altså om nesten 750 kroner i måneden per bruker.
Mike Hanley skriver imidlertid at de ønsker at den nye løsningen også skal kunne brukes av de som vedlikeholder åpen kildekodeprosjekter – og de skal få den gratis fra og med september.
Her kan du se en video av hvordan Copilot Autofix fungerer: