GitHub, geliştiricileri desteklemek ve üretkenliği artırmak amacıyla yazılım kodundaki güvenlik açıklarını avlayabilen yeni bir kod tarama otomatik düzeltme aracı sunmaya başlıyor. Şirket, yeni özelliğin bugünden itibaren tüm GitHub Advanced Security müşterileri için genel beta sürümünde kullanıma sunulacağını doğruladı.
GitHub Copilot ve CodeQL tarafından desteklenen araç, JavaScript, Typescript, Java ve Python programlama dillerindeki uyarı türlerinin %90’ından fazlasını kapsıyor ve “çok az düzenleme yaparak veya hiç düzenleme yapmadan” güvenlik açıklarını gideren kod önerileri sunabiliyor.
CodeQL, GitHub tarafından güvenlik kontrollerini otomatikleştirmek için geliştirilen semantik kod analiz motorudur ve kodu veri gibi ele alarak geliştiricilerin koddaki potansiyel güvenlik açıklarını geleneksel statik analizörlerden daha büyük bir güvenle bulmalarını sağlıyor. Kod güvenliği tarama araçları koddaki güvenlik açıklarını tespit etmeye yardımcı olur, ancak bunları düzeltmek için uyarıları önceliklendirmek ve düzeltme yapmadan önce belgeleri kontrol etmek gerekir – bunların hepsi ekstra zaman alabilir.
GitHub, konuyla ilgili açıklamasında kod tarama otomatik düzeltme aracının geliştiricilere sorunun bir açıklamasını ve doğrudan çekme isteğinde düzeltmek için kod önerileri sağladığını bildirdi. Söz konusu özellik, ‘Kullanıcı tarafından sağlanan yanıt, herhangi bir sterilizasyon olmadan doğrudan HTTP yanıtında kullanılıyor’ gibi hangi özelliğin kusura neden olduğunu açıklayabiliyor ve ardından bunun neden bir sorun olduğuna dair ayrıntılı bir yanıt sağlayabiliyor. Araç daha sonra geliştiricinin kabul edebileceği, düzenleyebileceği veya reddedebileceği kod önerisinin bir önizlemesini sunarak bir düzeltme önerebiliyor.
Firma, kod önerilerinin birden fazla dosyada yapılacak değişiklikleri ve projeye eklenmesi gereken bağımlılıkları içerebileceğini söyledi. Kod tarama otomatik düzeltmesi, bu önerileri oluşturmak için CodeQL motorunu ve sezgisel yöntemler ile GitHub Copilot API’lerinin bir kombinasyonunu kullanıyor Firma, GitHub Advanced Security teklifinin ekiplerin geleneksel güvenlik araçlarından yedi kat daha hızlı düzeltme yapmasına yardımcı olduğunu söyledi.
Çoğu kuruluş, üretim havuzlarında “sürekli artan” sayıda güvenlik açığı olduğunu kabul ediyor. Yeni aracın piyasaya sürülmesiyle GitHub, geliştiricilerin ‘güvenlik borcunu’ doğrudan ele alabileceklerini ve kod yazarken güvenlik açıklarını düzeltmeyi kolaylaştıracaklarını şu sözlerle ifade ediyor: “GitHub Copilot’un geliştiricileri sıkıcı ve tekrarlayan görevlerden kurtarması gibi, kod tarama otomatik düzeltmesi de geliştirme ekiplerinin daha önce düzeltme için harcadıkları zamanı geri kazanmalarına yardımcı olacak.”
Şirket ayrıca, güvenlik ekiplerinin günlük güvenlik açıklarının azalmasından da faydalanacağını belirtti. GitHub, “sırada” C# ve Go olmak üzere daha fazla programlama dili için destek eklemeyi planladığını da söyledi.
GitHub Copilot, geliştiricileri daha üretken hale getirmek için kod önerileri sunan (bu tür araçlar daha fazla ‘yazılım çalkantısı’ yaratsa bile) üretken yapay zekânın yükselişinin en yüksek profilli örneklerinden biri oldu. GitHub Copilot’u 50.000’den fazla işletme kullanıyor.
