Công cụ AI mới nhất của GitHub có thể tự động sửa các lỗ hổng mã

Ngày 20/03/2024, Sentry đã công bố tính năng AI Autofix để gỡ lỗi mã sản xuất. Sau đó vài giờ, GitHub đã tung ra bản beta đầu tiên của tính năng tự động quét mã để tìm và sửa các lỗ hổng bảo mật trong quá trình mã hóa. Tính năng mới này kết hợp khả năng thời gian thực của Copilot của GitHub với CodeQL, công cụ phân tích mã ngữ nghĩa của công ty. Công ty lần đầu tiên xem trước khả năng này vào tháng 11 năm ngoái.

Nguồn ảnh: Getty

Ngày 20/03/2024, Sentry đã công bố tính năng AI Autofix để gỡ lỗi mã sản xuất. Sau đó vài giờ, GitHub đã tung ra bản beta đầu tiên của tính năng tự động quét mã để tìm và sửa các lỗ hổng bảo mật trong quá trình mã hóa. Tính năng mới này kết hợp khả năng thời gian thực của Copilot của GitHub với CodeQL, công cụ phân tích mã ngữ nghĩa của công ty. Công ty lần đầu tiên xem trước khả năng này vào tháng 11 năm ngoái.

GitHub hứa hẹn rằng hệ thống mới này có thể khắc phục hơn hai phần ba các lỗ hổng mà nó tìm thấy - thường không cần các nhà phát triển phải tự chỉnh sửa bất kỳ mã nào. Công ty cũng hứa hẹn rằng tự động quét mã sẽ bao gồm hơn 90% các loại cảnh báo bằng các ngôn ngữ mà nó hỗ trợ, hiện là JavaScript, Typescript, Java và Python.

Tính năng mới này hiện có sẵn cho tất cả khách hàng GitHub Advanced Security (GHAS).

Tự động quét mã trong GitHub Copilot. Nguồn: GitHub

GitHub viết trong thông báo: “Giống như GitHub Copilot giúp các nhà phát triển giảm bớt những công việc tẻ nhạt và lặp đi lặp lại, tính năng tự động sửa lỗi quét mã sẽ giúp các nhóm phát triển lấy lại thời gian đã dành cho việc khắc phục trước đây”. “Các nhóm bảo mật cũng sẽ được hưởng lợi từ việc giảm số lượng lỗ hổng hàng ngày, vì vậy họ có thể tập trung vào các chiến lược để bảo vệ doanh nghiệp trong khi vẫn theo kịp tốc độ phát triển nhanh chóng.”

Nguồn ảnh: GitHub

Trong nền, tính năng mới này sử dụng công cụ CodeQL, công cụ phân tích ngữ nghĩa của GitHub để tìm các lỗ hổng trong mã, ngay cả trước khi mã được thực thi. Công ty đã cung cấp thế hệ CodeQL đầu tiên ra công chúng vào cuối năm 2019 sau khi mua lại công ty khởi nghiệp phân tích mã Semmle, nơi CodeQL được ươm tạo. Trong những năm qua, nó đã thực hiện một số cải tiến đối với CodeQL, nhưng có một điều không bao giờ thay đổi là CodeQL chỉ được cung cấp miễn phí cho các nhà nghiên cứu và nhà phát triển nguồn mở.

Giờ đây CodeQL là trung tâm của công cụ mới này, mặc dù GitHub cũng lưu ý rằng nó sử dụng “sự kết hợp giữa chẩn đoán và API GitHub Copilot” để đề xuất các bản sửa lỗi. Để tạo ra các bản sửa lỗi và giải thích, GitHub sử dụng mô hình GPT-4 của OpenAI. Và mặc dù GitHub rõ ràng đủ tự tin để đề xuất rằng phần lớn các đề xuất tự động sửa lỗi sẽ chính xác, công ty lưu ý rằng “một tỷ lệ nhỏ các bản sửa lỗi được đề xuất sẽ phản ánh sự hiểu lầm đáng kể về cơ sở mã hoặc lỗ hổng bảo mật”.