Trouv signifie rpar , tel est le slogan du nouveau Copilot Autofix de GitHub. Les dveloppeurs sont censs fournir un code de programmation scuris trois fois plus rapidement grce cet outil pilot par l’IA.
Microsoft Copilot est un chatbot d’intelligence artificielle gnrative dvelopp par Microsoft. Bas sur un grand modle de langage, il a t lanc en fvrier 2023 en tant que principal remplaant de Cortana, qui a t abandonn par Microsoft.
Copilot Autofix ne fait pas partie de l’offre standard de GitHub Copilot. Les comptes d’entreprise peuvent opter pour GitHub Advanced Security (GHAS), qui dtecte dsormais les vulnrabilits encore plus rapidement et plus clairement. Lors de la version bta publique, il a t constat que les utilisateurs d’Autofix corrigeaient les vulnrabilits trois fois plus vite que les utilisateurs qui devaient le faire manuellement. Quel est le secret de cet outil ?
La promesse d’Autofix ne se limite pas sa rapidit. La raison de ce rythme fulgurant : les dveloppeurs savent plus rapidement pourquoi une vulnrabilit se produit, et pas seulement qu’il y a un risque potentiel. Autofix explique la vulnrabilit d’un code et propose immdiatement une alternative.
GitHub sait galement qu’il vaut mieux prvenir que gurir. Autofix est donc particulirement conu comme un outil de prvention pour diffrents types de vulnrabilits. Par exemple, GitHub lui-mme cite les injections SQL et les scripts intersites. La mise en uvre d’un correctif sur la base d’une alerte GitHub prend normalement une heure et demie, mais grce Autofix, elle prend 28 minutes. Pour les scripts intersites, le gain de vitesse est encore plus important : 22 minutes contre trois heures ; les vulnrabilits lies aux injections SQL ne prennent que 18 minutes rsoudre avec Autofix, alors qu’il faut habituellement 3,7 heures.
Autofix peut galement venir la rescousse des vulnrabilits existantes. Avec Autofix, une alerte d’analyse dans le GHAS comprend un bouton Gnrer un correctif avec la mme fonctionnalit qu’Autofix ailleurs. Il est galement possible de crer une demande d’extraction avec le nouveau correctif pilot par l’IA. tant donn que l’IA permet galement de nettoyer le code existant, GitHub estime que les organisations ont la possibilit d’liminer des annes de dettes de scurit accumules .
Les dveloppeurs produisent des logiciels plus rapidement qu’on ne l’aurait imagin auparavant, en publiant de nouvelles fonctionnalits trs tt et trs souvent. Pourtant, malgr tous leurs efforts pour coder de manire scurise, des vulnrabilits logicielles se retrouvent par inadvertance dans la production et continuent d’tre l’une des principales causes d’intrusion aujourd’hui. En outre, de nombreux dveloppeurs estiment que les exigences en matire de scurit sont difficiles comprendre et mettre en uvre, ce qui complique l’obtention de bons rsultats en matire de scurit et se traduit par un plus grand nombre de vulnrabilits dans la nature.
Les outils d’analyse de code dtectent les vulnrabilits, mais ne s’attaquent pas au problme fondamental : la remdiation ncessite des comptences en matire de scurit et du temps, deux ressources prcieuses qui font cruellement dfaut. En d’autres termes, le problme n’est pas de trouver des vulnrabilits, mais de les corriger. C’est de les corriger qui l’est.
C’est pourquoi GitHub a annonc la disponibilit gnrale de la remdiation pilote par l’IA avec Copilot Autofix dans GitHub Advanced Security (GHAS). Copilot Autofix analyse les vulnrabilits dans le code, explique pourquoi elles sont importantes et propose des suggestions de code qui aident les dveloppeurs corriger les vulnrabilits aussi vite qu’elles sont trouves. Au cours de la version bta publique, il a t constat que les dveloppeurs corrigeaient les vulnrabilits du code plus de trois fois plus vite que ceux qui le faisaient manuellement, ce qui illustre parfaitement la manire dont les agents d’intelligence artificielle peuvent radicalement simplifier et acclrer le dveloppement de logiciels scuriss.
Les dveloppeurs peuvent viter que de nouvelles vulnrabilits n’apparaissent dans leur code grce Copilot Autofix dans la demande d’extraction et, dsormais, ils peuvent galement rembourser l’arrir de la dette de scurit en gnrant des correctifs pour les vulnrabilits existantes.
liminer les nouvelles vulnrabilits du code
Depuis son introduction dans la version bta publique en mars 2024, les dveloppeurs ont utilis Copilot Autofix dans leurs demandes d’extraction pour les aider corriger rapidement les vulnrabilits dans le nouveau code avant qu’elles ne soient fusionnes dans la production o elles peuvent avoir un impact sur les clients. Des corrections peuvent tre gnres pour des dizaines de classes de vulnrabilits de code, telles que l’injection SQL et les scripts intersites, que les dveloppeurs peuvent rejeter, modifier ou valider dans leur demande d’extraction.
Sur la base des donnes des clients de la version bta publique entre mai et juillet 2024, Copilot Autofix a dj montr des rductions spectaculaires dans le temps entre la dtection et la remdiation russie :
- 3x plus rapide. Dans l’ensemble, le temps mdian ncessaire aux dveloppeurs pour utiliser Copilot Autofix afin de valider automatiquement la correction d’une alerte lie une demande d’extraction tait de 28 minutes, contre 1,5 heure pour rsoudre les mmes alertes manuellement.
- 7x plus rapide. Vulnrabilits de script intersites : 22 minutes, contre prs de trois heures.
- 12 fois plus rapide. Faille d’injection SQL : 18 minutes, contre 3,7 heures.
Les premiers utilisateurs de Copilot Autofix ont galement fait tat d’amliorations spectaculaires en termes d’efficacit et de productivit :
Depuis la mise en uvre de Copilot Autofix, nous avons observ une rduction de 60 % du temps consacr aux revues de code lies la scurit et une augmentation de 25 % de la productivit globale du dveloppement. Dans le secteur de la sant, o la scurit est essentielle, cela nous permet d’agir rapidement sur des solutions industrielles prouves. Cette approche proactive de la scurit nous aide prvenir les problmes potentiels, ce qui nous permet d’conomiser des milliers d’heures par mois qui seraient autrement consacres la remdiation , a dclar Kevin Cooper, ingnieur principal chez Optum.
Remboursez votre dette de scurit
Tout comme GitHub Copilot aide les dveloppeurs coder plus rapidement, Copilot Autofix acclre le rythme de la remdiation afin que les quipes de scurit fassent de rels progrs avec l’arrir des vulnrabilits existantes, communment appel dette de scurit.
Les vulnrabilits peuvent vivre ternellement, et plus elles sont restes dormantes, plus il est difficile et coteux de les corriger. Lorsqu’on demande un dveloppeur de corriger des vulnrabilits dans un code qu’il n’a pas vu depuis longtemps ou qu’il ne connat pas, cela peut prendre des heures pour valuer le code environnant et exprimenter des corrections manuelles. Copilot Autofix rduit considrablement ce fardeau, de sorte que les dveloppeurs peuvent corriger les anciennes vulnrabilits plus rapidement et en toute confiance.
Voici comment cela fonctionne. Pour lancer Copilot Autofix pour des vulnrabilits dans du code existant, il suffit d’appuyer sur le bouton Generate fix (Gnrer un correctif) sur une alerte dans l’alerte de scan de code GHAS. Copilot Autofix value le code et la vulnrabilit et renvoie une explication et une suggestion de code pour examen. Le dveloppeur peut alors cliquer sur le bouton Create PR with fix pour crer une nouvelle demande d’extraction qui inclut des modifications de code pour corriger l’alerte. Avec Copilot Autofix, les quipes peuvent rembourser des annes de dettes de scurit – mme les alertes de gravit faible ou modre difficiles prioriser – en quelques clics seulement.
Copilot Autofix prend en charge les tches de scurit fastidieuses, en veillant ce que notre code existant et nouveau soit toujours aussi sr que possible. Les vulnrabilits sont immdiatement signales et les modifications de code sont recommandes automatiquement. Cela permet nos quipes de gagner du temps et de se concentrer sur des initiatives plus stratgiques , dclare Mario Landgraf, Community Manager, Security // Otto (GmbH & Co KG).
Copilot Autofix en action
Pour les dveloppeurs qui ne sont pas ncessairement des experts en scurit, Copilot Autofix est comme avoir l’expertise de votre quipe de scurit porte de main pendant que vous rvisez le code. Copilot Autofix ne se contente pas de signaler les vulnrabilits ; il explique pourquoi certaines actions sont ncessaires et comment les mettre en uvre, ce qui rend la rsolution des problmes plus accessible , explique M. Cooper d’Optum.
En coulisses, Copilot Autofix s’appuie sur le moteur CodeQL, GPT-4o et une combinaison d’heuristiques et d’API GitHub Copilot pour gnrer des suggestions de code. Copilot Autofix construit une invite LLM base sur des sources telles que l’analyse CodeQL et de courts extraits de code autour du chemin de flux.
Scuriser l’open source
Copilot Autofix rduit le temps et les efforts ncessaires pour remdier aux vulnrabilits dans les dpts privs, mais qu’en est-il des vulnrabilits dans l’open source ? Comme cela a t le cas avec Log4j, une vulnrabilit quelque part peut rapidement devenir une vulnrabilit partout. En tant que centre mondial de la communaut open source, GitHub est particulirement bien plac pour aider les mainteneurs dtecter et corriger les vulnrabilits afin que les logiciels open source soient plus srs et plus fiables pour tout le monde. GitHub croit fermement qu’il est trs important d’tre la fois un consommateur responsable de logiciels open source et un contributeur ces logiciels. C’est pourquoi les mainteneurs de logiciels open source peuvent dj profiter gratuitement des outils d’analyse de code, d’analyse secrte, de gestion des dpendances et de signalement priv des vulnrabilits de GitHub. partir de septembre, GitHub ajoutera Copilot Autofix dans les demandes d’extraction cette liste et l’offrira gratuitement tous les projets open source.
Agir vite et rparer les choses
Alors que la responsabilit de la scurit des logiciels continue de reposer sur les paules des dveloppeurs, GitHub estime que les agents d’intelligence artificielle peuvent contribuer allger ce fardeau. Les talents expriments en matire de scurit sont rares, mais avec Copilot Autofix aux cts des dveloppeurs, chaque dveloppeur bnficie d’une expertise en matire de scurit chaque fois qu’il en a besoin. La scurit devient tout simplement synonyme de dveloppement de logiciels.
Et ce n’est que le dbut. De GitHub Copilot Workspace GHAS, GitHub se fait le champion d’un avenir o l’IA ne se contente pas d’assister mais contribue transformer les entreprises, de la productivit et de l’innovation la scurit et la rduction des risques. Dans le GHAS, l’IA permet non seulement de corriger les vulnrabilits dans le code, mais aussi d’amliorer la porte et la prcision de l’analyse secrte, et avec de nouveaux flux de travail qui font voluer Copilot Autofix pour les organisations ayant un volume lev de dettes de scurit, le tout sur la plateforme familire que les dveloppeurs connaissent et apprcient dj.
Avec Copilot Autofix, GitHub se rapproche un peu plus de sa vision : une vulnrabilit trouve signifie une vulnrabilit corrige.
Et vous ?
Quel est votre avis sur le sujet ?
Avez-vous utilis cet outil ou un outil similaire pour votre usage ou le dveloppement d’applications, et si oui qu’en pensez-vous ?
Voir aussi :