开源代码漏洞正在成为企业面临的最危险的开发安全问题。根据Synopsys最新发布的年度“开源安全与风险分析”报告,96%的经过审计的代码库(涵盖17个行业)都包含开源软件。与此同时,84%的企业代码库所使用的开源软件中至少包含一个漏洞,其中74%为高风险漏洞。
近日,GitHub推出了革命性的AI代码扫描功能,可帮助开发人员在编码过程中更快地修复漏洞。这个名为“代码扫描自动修复”(Code Scanning Autofix)的功能目前正处于公开测试阶段,并已自动启用于所有使用GitHub高级安全(GHAS)的私有代码库。
“代码扫描自动修复”功能由GitHub Copilot和CodeQL共同提供,可帮助修复超过90%的JavaScript、Typescript、Java和Python代码漏洞预警类型。据GitHub声称,在GihHubCopilot的帮助下,开发者在编码过程中只需少量甚至无需编辑即可解决超过三分之二的已发现漏洞。
在所支持的开发语言代码中发现漏洞时,GitHub Copilot不但能以自然语言给出修复建议的解释,还能生成供开发人员采用的代码建议预览。
该功能提供的代