Nye GitHub Autofix skal bøte på mangelen på sikkerhets­eksperter

Hevder Copilot Autofix reduserer tiden det tar å fikse sårbarheter fra 90 til 28 minutter.

GitHub Copilot Autofix kan automatisk komme med forslag til hvordan du fikser sårbarheter i koden din, og lage en PR med den rettede koden. 📸: GitHub/YouTube
GitHub Copilot Autofix kan automatisk komme med forslag til hvordan du fikser sårbarheter i koden din, og lage en PR med den rettede koden. 📸: GitHub/YouTube Vis mer

GitHub har lansert Copilot Autofix, et AI-basert verktøy de hevder skal gjøre det mulig å fikse sårbarheter i kode mer enn tre ganger raskere enn før.

Løsningen ble tilgjengelig i offentlig betaversjon i mars i år, men er nå altså lansert i endelig versjon for alle GitHub Enterprise-kunder som abonnerer på GitHub Advanced Security (GHAS).

– Kode-skanningsverktøy oppdager sårbarheter, men de adresserer ikke det grunnleggende problemet: Utbedring krever sikkerhetsekspertise og tid, to verdifulle ressurser som er kritisk mangelvare, skriver CSO i GitHub, Mike Hanley i lanserings-bloggposten.

– Med andre ord: Det å finne sårbarheter er ikke problemet. Å fikse dem er det, fortsetter han.

Foreslår feilrettinger

Copilot Autofix vil automatisk analysere koden din. Hvis den finner sårbarheter, kan du trykke en "Generate fix"-knapp. Du vil da få opp et forslag til løsning, med en forklaring.

Er du fornøyd med den foreslåtte feilrettingen, kan du trykke en "Create PR with fix"-knapp for å automatisk lage en ny pull request som inkluderer også sikkerhetsfiksen.

Copilot Autofix bruker GitHubs kodeskanner CodeQL under panseret, sammen med GPT-4o og en kombinasjon av heuristikk og Copilot API-er for å lage kodeforslagene.

Gode testresultater

GitHub skriver at Autofix kan oppdage og lage forslag til feilrettinger for mange ulike typer sårbarheter, som SQL injection- og cross-site-scripting-sårbarheter.

Ifølge GitHub viser kundedata fra betaperioden at mediantiden det tar for utviklere å committe en fiks fra de får en advarsel etter en pull request er redusert fra 1,5 timer til 28 minutter med Autofix – altså rundt tre ganger raskere.

Det å fikse cross-site-scripting-sårbarheter tok tidligere rundt tre timer, mot 22 minutter, hevder GitHub. SQL injection-sårbarheter ble fikset enda raskere – ned fra 3,7 timer til 18 minutter, det vil si 12 ganger raskere enn før.

Gir bort gratis til open source

Men for de som nå har lyst til å kaste seg over Copilot Autofix, så er det langt fra noen billig fornøyelse:

Enterprise-utgaven av GitHub koster i utgangspunkt 21 dollar i måneden per bruker, og i tillegg kommer 49 dollar i måneden per aktive "committer" hvis du vil ha Autofix. Vi snakker altså om nesten 750 kroner i måneden per bruker.

Mike Hanley skriver imidlertid at de ønsker at den nye løsningen også skal kunne brukes av de som vedlikeholder åpen kildekodeprosjekter – og de skal få den gratis fra og med september.

Her kan du se en video av hvordan Copilot Autofix fungerer:

Vis mer