快速发布软件通常会以牺牲安全性为代价,漏洞可能会无意中进入生产代码。这带来了巨大的挑战,因为许多开发人员发现安全要求复杂且难以实现。
“开发人员发布软件的速度比以前想象的要快,他们经常提前发布新功能。然而,尽管他们尽最大努力确保代码安全,但软件漏洞还是会无意中进入生产环境,并继续成为当今漏洞的主要原因,”GitHub 首席战略官兼工程高级副总裁 Mike Hanley解释。
虽然代码扫描工具可以检测到这些漏洞,但真正的瓶颈在于补救措施。解决这些问题需要专业的安全知识和大量的时间投入,而这两种资源往往供不应求。
为了应对这一挑战,GitHub 宣布在GitHub Advanced Security (GHAS) 中全面推出 Copilot Autofix。这款人工智能工具可以分析漏洞、解释其严重性并建议代码级修复,从而大大加快修复过程。
“在公开测试期间,我们发现开发人员修复代码漏洞的速度比手动修复的速度快三倍多,这是一个有力的例子,说明人工智能代理如何从根本上简化和加速安全软件开发,”汉利说。
2024 年 5 月至 7 月的数据显示,补救时间显著缩短:
- 总体而言:平均修复时间从 1.5 小时缩短至 28 分钟。
- 跨站点脚本:补救时间从近三个小时缩短到仅 22 分钟。
- SQL 注入:修复过程在 18 分钟内完成,比之前惊人的 3.7 小时缩短了不少。
这些效率提升已为早期采用者带来了切实的利益。Optum 首席工程师 Kevin Cooper报告称, “花在安全相关代码审查上的时间减少了 60%,总体开发效率提高了 25%。”
Copilot Autofix 的好处不仅限于解决新漏洞,它还可以解决现有安全债务积压问题。这些未解决的漏洞可能会困扰组织多年,随着时间的推移,修复起来越来越困难,成本也越来越高。
Copilot Autofix 提供了一种解决方案,它分析现有代码、识别漏洞,并通过简单的点击提供代码级修复。这使开发人员能够迅速有效地解决安全问题,即使是那些经常被降级的低严重性和中等严重性警报。
Otto安全部门社区经理 Mario Landgraf 表示:“Copilot Autofix 负责处理繁琐的安全任务,确保我们现有和新代码始终尽可能安全。漏洞会立即被标记,并且会自动建议更改代码。它可以帮助我们的团队腾出时间,让他们可以专注于更具战略性的计划。”
通过利用 CodeQL 引擎、GPT-4o 和 GitHub Copilot API,Copilot Autofix 为开发人员提供随时可用的安全专业知识。这使他们不仅能够修复漏洞,还能了解潜在问题并实施安全编码实践。
GitHub 意识到开源安全的重要性,正在将 Copilot Autofix 的优势扩展到开源社区。从 9 月开始,所有开源项目都可以在拉取请求中免费使用 Copilot Autofix,从而进一步增强软件生态系统的安全性。
借助 Copilot Autofix,GitHub 旨在使安全性成为开发过程不可或缺的一部分,而不是一项单独而艰巨的任务。通过为开发人员提供人工智能工具和随时可用的专业知识,他们正在努力使“发现漏洞”与“修复漏洞”成为同义词。
