Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

KI fixt Schwachstellen automatisch: GitHub startet Code Scanning Autofix

Kunden von GitHub Advanced Security erhalten automatische Vorschläge zum Beheben von Schwachstellen. Grundlage sind Copilot und die Analyse-Engine CodeQL.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Künstliche Intelligenz: Roboterkopf mit Hand und Schrift "AI" vor Globus

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Developer
Von

GitHub hat Code Scanning Autofix gestartet, das automatisch Code auf Schwachstellen untersucht und Verbesserungsvorschläge unterbreitet. Das Tool steht ausschließlich Kunden von GitHub Advanced Security zur Verfügung und befindet sich in der öffentlichen Betaphase.

Erstmals angekündigt hatte GitHub die Funktion im November auf der GitHub Universe. Seinerzeit war nur von JavaScript und TypeScript die Rede. Zum Start der Beta sind Java und Python hinzugekommen und weitere Programmiersprachen wie C# und Go befinden sich in Vorbereitung.

Security-Analyse trifft KI-Codeassistenten

Code Scanning Autofix kombiniert GitHubs Security-Analyse-Engine CodeQL, die GitHub 2019 mit der Übernahme von Semmle ins Portfolio aufgenommen hatte, mit dem KI-Codeassistenten GitHub Copilot.

Wenn die Analyse-Engine eine Schwachstelle findet, erstellt Code Scanning Autofix einen Verbesserungsvorschlag mit Erklärung der Schwachstelle und Hinweisen zu erforderlichen Maßnahmen, alles in natürlicher Sprache. Dafür setzt es auf eine Kombination aus heuristischen Ansätzen und GitHub Copilot.

Das Tool erkennt das Cross-Site-Scripting-Risiko und schlägt den Einsatz einer Library vor, die den String aus der User-Eingabe bereinigt.

(Bild: GitHub)

Die Vorschläge sind dabei nicht unbedingt auf einen Codeabschnitt beschränkt, sondern können mehrere Dateien einbeziehen.

Letzte Instanz Developer

Trotz des Namens behebt Code Scanning Autofix die Schwachstellen nicht selbsttätig, sondern überlässt den Entwicklerinnen und Entwicklern die Wahl, ob sie die vorgeschlagenen Änderungen annehmen, ablehnen oder zunächst editieren möchten.

Die Heise-Konferenz zu sicherer Softwareentwicklung

(Bild: Vitamin444/Shutterstock)

Am 25. und 26. September findet in Köln die achte Auflage der heise devSec statt. Die von iX, heise Security und dpunkt.verlag ausgerichtete Konferenz steht unter dem Motto "Sichere Software beginnt vor der ersten Zeile Code".

Im Call for Proposals suchen die Veranstalter iX, heise Security und dpunkt.verlag bis zum 8. April Vorträge und Workshops unter anderem zu folgenden Themen:

  • KI in der Softwareentwicklung
  • Security by Design, Security Engineering
  • Entwurf und sichere Architekturen
  • Supply Chain Security
  • Sichere Freie und Open-Source-Software und deren Entwicklung
  • Korrekter Einsatz von Kryptografie

Laut der Ankündigung im GitHub-Blog erkennt Code Scanning Autofix im Schnitt 90 Prozent der Warnungen aus der Default-Code-Sanning-Suite zu CodeQL für JavaScript, TypeScript, Python und Java. Etwa Zweidrittel der Schwachstellen behebt das Tool so, dass nur wenige oder gar keine manuellen Anpassungen mehr notwendig sind.

Kunden von GitHub Advanced Security erhalten automatisch Zugang zur Beta. GitHub hat einen eigenen Diskussionsbereich für das Werkzeug eingerichtet, und einer der ersten Beiträge fragt, wann Open-Source-Maintainer Zugriff auf das Tool erhalten.

(rme)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten