La développement est probablement le terrain de jeu de l’IA générative le plus prometteur. Et GitHub avec Copilot (motorisé par GPT) a pris une petite avance par rapport à la concurrence (AWS, Google...). Et la filiale de Microsoft continue à enrichir les fonctions de son assistant notamment sur la sécurité. Elle vient pour cela de lever le voile sur Code Scanning Autofix, capable d’accélérer la correction des vulnérabilités pendant le codage.
En beta publique, elle est automatiquement activée sur tous les dépôts privés pour les clients de GitHub Advanced Security (GHAS). L’éditeur souligne que la solution peut traiter plus de 90 % des types d'alertes en JavaScript, Typescript, Java et Python. Elle est alimentée par Copilot, mais aussi CodeQL, un outil d’analyse de code. Une fois activée, le service fournit des correctifs potentiels qui selon l’éditeur résoudra plus de deux tiers des vulnérabilités détectées.
Réduire la dette de sécurité applicative
« Lorsqu'une faille est découverte dans un langage pris en charge, les suggestions de correction comprennent une explication en langage naturel du patch suggérée, ainsi qu'un aperçu de la suggestion de code que le développeur peut accepter, modifier ou rejeter », ont déclaré Pierre Tempel et Eric Tooley deux responsables chez GitHub. Les suggestions de code et les explications peuvent inclure des modifications du fichier actuel, de plusieurs fichiers et des dépendances du projet en cours.
Avec Code Scanning Autofix, « les entreprises ont la possibilité de réduire leur « dette de sécurité applicative » en facilitant la correction des failles par les développeurs au fur et à mesure qu’ils codent », soulignent les deux experts. GitHub prévoit d'ajouter la prise en charge d'autres langages dans les mois à venir, avec notamment la prise en charge de C# et Go.
Commentaire