GitHub a annoncé aujourd’hui le lancement en bêta de son nouveau service de correction automatique des vulnérabilités de code, marquant une évolution significative dans le domaine de la sécurité informatique.
Baptisé code-scanning autofix, cet outil innovant propose de détecter et de corriger les failles de sécurité directement lors du processus de codage. S’appuyant sur les capacités en temps réel de GitHub Copilot et sur CodeQL, le moteur d’analyse sémantique du code de l’entreprise, cette fonctionnalité promet de révolutionner la manière dont les développeurs gèrent les vulnérabilités.
GitHub assure que son système peut remédier à plus des deux tiers des vulnérabilités qu’il détecte, souvent sans que les développeurs aient besoin de modifier eux-mêmes le code. De plus, la société affirme que le code scanning autofix couvrira plus de 90 % des types d’alertes dans les langues qu’il prend en charge, actuellement JavaScript, TypeScript, Java et Python. Ce nouvel outil est désormais accessible à tous les clients de GitHub Advanced Security (GHAS).
Lire aussi :
- Cybersécurité à l’ère de l’IA : Entre avancées majeures et risques majeurs
- Alerte Sécurité : La Nouvelle App Journal S’infiltre dans Votre Smartphone Sans Permission
Gain de temps et amélioration de la sécurité
L’outil de correction automatique de GitHub promet non seulement de libérer les développeurs des tâches répétitives et fastidieuses mais aussi de redonner aux équipes de développement le temps autrefois consacré à la remédiation. Les équipes de sécurité bénéficieront également de cette innovation, grâce à une diminution du volume des vulnérabilités quotidiennes, leur permettant de se concentrer sur des stratégies plus globales pour protéger l’entreprise tout en suivant le rythme accéléré du développement.
Au cœur de cette nouvelle fonctionnalité, nous retrouvons le moteur CodeQL, outil d’analyse sémantique de GitHub qui permet de trouver des vulnérabilités dans le code, même avant qu’il ne soit exécuté. GitHub a mis à disposition la première génération de CodeQL fin 2019, après l’acquisition de la startup d’analyse de code Semmle, où CodeQL a été incubé. Depuis, l’entreprise a apporté de nombreuses améliorations à CodeQL, mais cet outil était jusqu’à présent gratuit uniquement pour les chercheurs et les développeurs de logiciels open source.
Découvrez Claude 3 : L’intelligence artificielle nouvelle génération qui redéfinit les frontières !
Des corrections intelligentes mais à vérifier
La nouvelle fonctionnalité utilise une combinaison d’heuristiques et d’API GitHub Copilot pour proposer ses corrections. Pour générer les correctifs et leurs explications, GitHub s’appuie sur le modèle GPT-4 d’OpenAI. Bien que GitHub soit assez confiant pour suggérer que la grande majorité des propositions de correction automatique seront correctes, la société reconnaît qu’un faible pourcentage de ces corrections pourrait refléter une incompréhension significative de la base de code ou de la vulnérabilité.
L’innovation au service des professionnels : Comment Microsoft transforme Dynamics 365 avec l’IA !
En conclusion, cette innovation de GitHub pourrait changer la donne pour de nombreux développeurs et équipes de sécurité. Elle offre une nouvelle approche de la gestion des vulnérabilités, promettant d’accélérer le développement tout en renforçant la sécurité des applications. Toutefois, malgré les promesses d’efficacité, une vigilance reste de mise quant à l’application des corrections automatiques suggérées.
