GitHub: Copilot Autofix verlässt die Beta und wird Teil von Advanced Security

GitHub hat die öffentliche Beta von Copilot Autofix abgeschlossen und integriert das KI-Security-Feature in das Angebot GitHub Advanced Security. Während der Beta, die im März diesen Jahres gestartet war, hatten Nutzer die Gelegenheit, Sicherheitslücken in Pull Requests mit Copilot Autofix aufzuspüren. Die KI liefert Vorschläge für Anpassungen am Code, um die Lücke zu stopfen, gleich mit. Laut GitHub war es Nutzern von Copilot Autofix während der Beta möglich, die Zeit zum Beheben von Sicherheitslücken wie SQL-Injections von 3,7 Stunden auf 18 Minuten zu drücken.

Security-Altlasten in Angriff nehmen

Als Teil von GitHub Advanced Security soll Copilot Autofix Entwickler auch dabei unterstützen, eine existierende Codebasis aufzuräumen und Sicherheitslücken zu stopfen. Insbesondere Entwicklern, die sich erst in den Code eingraben müssten, um sich mit einem Problem vertraut zu machen, könnte das Feature helfen.

Sobald ein Code-Scanning-Alert ein Sicherheitsproblem identifiziert hat, können Entwickler auf die Schaltfläche "Generate Fix" in der Repository-Ansicht klicken. Copilot Autofix analysiert dann die Lücke und liefert Vorschläge für Codeanpassungen. Nachdem diese geprüft wurden, soll ein Pull Request generiert werden können, der das gefundene Problem behebt.

Copilot Autofix spannt dazu die semantische Code-Analyse der CodeQL-Engine, das GPT-4o-Modell von OpenAI sowie das API des Programmierassistenten Copilot ein, um einen LLM-Prompt zu erzeugen und Code-Vorschläge zu generieren.

Copilot Autofix für Open-Source-Projekte

GitHub stellt einige Sicherheitsfeatures wie das Scannen nach Sicherheitslücken oder Geheimnissen wie API-Schlüsseln kostenlos für öffentliche Repositories zur Verfügung. Im September soll Copilot Autofix für Pull Requests ebenfalls den Weg in den Security-Werkzeugkasten für Open-Source-Projekte finden.

(ndi)