21 Mart 2024Haber odasıMakine Öğrenimi / Yazılım Güvenliği

GitHub Çarşamba günü, herkese açık beta sürümünde kod tarama otomatik düzeltme adı verilen bir özelliği kullanıma sunduğunu duyurdu. Gelişmiş Güvenlik müşterileri Yeni güvenlik sorunlarının ortaya çıkmasını önlemek amacıyla hedefe yönelik öneriler sunmak.

“GitHub Copilot tarafından desteklenmektedir ve CodeQLKod tarama otomatik düzeltmesi, JavaScript, Typescript, Java ve Python’daki uyarı türlerinin %90’ından fazlasını kapsıyor ve bulunan güvenlik açıklarının üçte ikisinden fazlasını çok az düzenlemeyle veya hiç düzenleme yapmadan düzelttiği gösterilen kod önerileri sunuyor.” GitHub’dan Pierre Tempel ve Eric Tooley söz konusu.

Kabiliyet, ilk ön izlemesi yapıldı Kasım 2023’te kod önerileri oluşturmak için CodeQL, Copilot API’leri ve OpenAI GPT-4’ün birleşiminden yararlanıyor. Microsoft’un sahibi olduğu yan kuruluş ayrıca gelecekte C# ve Go da dahil olmak üzere daha fazla programlama dili için destek eklemeyi planladığını söyledi.

Kod tarama otomatik düzeltmesi, geliştiricilerin kod yazarken potansiyel düzeltmeler oluşturarak güvenlik açıklarını çözmelerine yardımcı olmak ve desteklenen bir dilde bir sorun keşfedildiğinde doğal bir dil açıklaması sağlamak için tasarlanmıştır.

Bu öneriler, mevcut dosyanın ötesine geçerek diğer bazı dosyalarda yapılan değişiklikleri ve sorunu düzeltmek için eklenmesi gereken bağımlılıkları da içerebilir.

Şirket, “Kod tarama otomatik düzeltmesi, en iyi uygulamalara ilişkin bilgileri kod tabanı ayrıntılarıyla birleştirerek ve geliştiriciye potansiyel bir düzeltme önermek için uyarı vererek geliştiricilere giriş engelini azaltıyor” dedi. söz konusu.

“Güvenlik açığı hakkında bilgi aramak yerine geliştirici, kod tabanları için potansiyel bir çözüm gösteren bir kod önerisiyle başlıyor.”

Bununla birlikte, önerileri değerlendirmek ve bunun doğru çözüm olup olmadığını belirlemek ve amaçlanan davranıştan sapmadığından emin olmak geliştiriciye bırakılmıştır.

GitHub ayrıca otomatik düzeltme kodu önerilerinin mevcut sınırlamalarını da vurguladı ve geliştiricilerin değişiklikleri ve bağımlılıkları kabul etmeden önce dikkatlice incelemesini zorunlu kıldı.

  • Sözdizimsel olarak doğru kod değişiklikleri olmayan düzeltmeler önerin
  • Sözdizimsel olarak doğru kod olan ancak yanlış konumda önerilen düzeltmeleri önerin
  • Sözdizimsel olarak geçerli olan ancak programın anlamını değiştiren düzeltmeler önerin
  • Temel nedeni çözemeyen veya yeni güvenlik açıkları ortaya çıkaran düzeltmeler önerin
  • Temeldeki kusuru yalnızca kısmen çözen düzeltmeler önerin
  • Desteklenmeyen veya güvenli olmayan bağımlılıklar önerin
  • Olası tedarik zinciri saldırılarına yol açacak şekilde keyfi bağımlılıklar önerin

Şirket, “Sistemin daha geniş ekosistemde yayınlanan bağımlılıklar hakkında eksik bilgiye sahip olduğunu” belirtti. “Bu, saldırganların istatistiksel olarak olası bir bağımlılık adı altında yayınladığı kötü amaçlı yazılımlara yeni bir bağımlılık ekleyen önerilere yol açabilir.”



siber-2