GitHub 宣布其 AI 驱动的修复工具 Copilot Autofix 在 GitHub Advanced Security (GHAS) 内正式推出。根据 GitHub 博客 的消息,这一创新工具允许开发人员和安全团队显著加快代码漏洞的修复,从而提升整体软件安全性。
加速漏洞修复
自 2024 年 3 月公测以来,Copilot Autofix 已证明开发人员使用 AI 驱动的建议修复代码漏洞的速度是手动过程的三倍以上。该工具分析漏洞,解释其重要性,并提供快速修复的代码建议。在测试阶段,使用 Copilot Autofix 的开发人员平均在 28 分钟内解决漏洞,而手动处理需要 1.5 小时。
尤其是在处理跨站脚本攻击和 SQL 注入漏洞时,修复时间分别缩短至 22 分钟和 18 分钟。这些令人印象深刻的结果显示了 AI 代理简化安全软件开发的潜力。
软件开发中的 AI 代理
AI 代理,或称为 agentic AI,能够实时做出决策、规划并适应新信息。Copilot Autofix 利用了这些能力,通过自动生成对拉取请求中检测到的漏洞的修复建议,帮助开发人员维护安全代码。
对于现有漏洞,开发人员可以通过 GHAS 代码扫描警报系统启动 Copilot Autofix。该工具检查代码和漏洞,提供解释并建议修复,然后可以通过新的拉取请求提交。此过程帮助开发人员高效解决长期存在的安全债务。
用户反馈与效率提升
Copilot Autofix 的早期用户报告了其开发工作流程的显著改进。例如,Optum 的首席工程师 Kevin Cooper 指出,安全相关代码审查时间减少了 60%,整体开发效率提高了 25%。这些收益在安全至关重要的行业(如医疗行业)尤为有价值。
同样,Otto (GmbH & Co KG) 的社区经理 Mario Landgraf 强调了该工具处理繁琐安全任务的能力,使他的团队能够专注于战略性任务,同时确保代码安全。
支持开源项目
GitHub 正在将 Copilot Autofix 的好处扩展到开源社区。从九月开始,该工具将免费提供给所有开源项目,帮助维护人员更高效地检测和修复漏洞。此举旨在提高开源软件的安全性和可靠性,特别是在漏洞(如 Log4j)对广泛影响的情况下。
未来展望
GitHub 展望未来,认为类似 Copilot Autofix 的 AI 代理在软件开发中将发挥关键作用,不仅提高生产力和创新,还显著改善安全性和风险管理。公司还在进一步将 AI 集成到其平台的其他方面,如密钥扫描和大规模管理安全债务。
通过 Copilot Autofix,GitHub 继续朝着使软件开发与安全性同义的目标迈进,确保发现的漏洞也将得到修复。
Image source: Shutterstock