自动修复三分之二漏洞！GitHub推出AI代码扫描修复工具

开源代码漏洞正在成为企业面临的最危险的开发安全问题。根据Synopsys最新发布的年度“开源安全与风险分析”报告，96%的经过审计的代码库（涵盖17个行业）都包含开源软件。与此同时，84%的企业代码库所使用的开源软件中至少包含一个漏洞，其中74%为高风险漏洞。

近日，GitHub推出了革命性的AI代码扫描功能，可帮助开发人员在编码过程中更快地修复漏洞。这个名为“代码扫描自动修复”（Code Scanning Autofix）的功能目前正处于公开测试阶段，并已自动启用于所有使用GitHub高级安全(GHAS)的私有代码库。

“代码扫描自动修复”功能由GitHub Copilot和CodeQL共同提供，可帮助修复超过90%的JavaScript、Typescript、Java和Python代码漏洞预警类型。据GitHub声称，在GihHubCopilot的帮助下，开发者在编码过程中只需少量甚至无需编辑即可解决超过三分之二的已发现漏洞。

在所支持的开发语言代码中发现漏洞时，GitHub Copilot不但能以自然语言给出修复建议的解释，还能生成供开发人员采用的代码建议预览。

该功能提供的代码建议和解释可能涉及对当前文件、多个文件以及当前项目依赖项的更改。实施这种方法可以显著减少安全团队每天需要处理的漏洞数量。

这反过来使安全团队能够将精力集中在确保企业的整体安全，而不是将大量资源分配给修复开发过程中引入的新安全漏洞。

不过，需要注意的是，开发人员应始终验证安全问题是否已解决，因为GitHub的人工智能功能可能会建议仅部分修复安全漏洞或影响既定代码功能的方案。

GitHub发言人指出：“代码扫描自动修复功能可帮助开发人员在编码过程中第一时间修复漏洞，从而缓解了‘应用安全债务’的增长。正如GitHubCopilot帮助开发人员摆脱繁琐重复的任务一样，代码扫描自动修复也将帮助开发团队大大节省用于漏洞修复的时间。”

GitHub计划在未来几个月内支持更多开发语言，C#和Go将是接下来会支持的语言。

上个月，GitHub还为所有公共代码库默认启用了推送保护功能，以防止在推送新代码时意外泄露访问令牌和API密钥等机密信息。

2023年，这个问题尤为严重，当年全年通过超过300万个公共代码库，GitHub用户意外泄露了1280万个身份验证凭证和敏感机密。正如BleepingComputer所报道的，暴露的机密和凭证近年来已被用于多次重大网络攻击事件。

参考链接：

• https://docs.github.com/en/code-security/code-scanning/managing-code-scanning-alerts/about-autofix-for-codeql-code-scanning
• https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html