Github tung công cụ ai tự động vá lỗ hổng bảo mật trong mã nguồn

- GitHub giới thiệu tính năng mới sử dụng AI có tên Code Scanning Autofix, hiện đang trong giai đoạn beta công khai và tự động kích hoạt trên tất cả các kho lưu trữ riêng cho khách hàng GitHub Advanced Security (GHAS).
- Tính năng này được hỗ trợ bởi GitHub Copilot và CodeQL, giúp xử lý hơn 90% các loại cảnh báo trong JavaScript, Typescript, Java và Python.
- Khi được bật, nó cung cấp các bản sửa lỗi tiềm năng mà GitHub tuyên bố sẽ giải quyết được hơn 2/3 lỗ hổng được phát hiện với ít hoặc không cần chỉnh sửa.
- Các đề xuất sửa lỗi bao gồm giải thích bằng ngôn ngữ tự nhiên về bản sửa lỗi được đề xuất, cùng với bản xem trước đoạn mã mà nhà phát triển có thể chấp nhận, chỉnh sửa hoặc bỏ qua.
- Các đề xuất và giải thích mã có thể bao gồm thay đổi cho tệp hiện tại, nhiều tệp và các phụ thuộc của dự án hiện tại.
- Việc áp dụng cách tiếp cận này có thể giảm đáng kể tần suất lỗ hổng mà các nhóm bảo mật phải xử lý hàng ngày, giúp họ tập trung vào đảm bảo an ninh của tổ chức thay vì phải phân bổ nguồn lực không cần thiết để theo kịp các lỗ hổng bảo mật mới.
- Tuy nhiên, các nhà phát triển nên luôn xác minh xem các vấn đề bảo mật đã được giải quyết hay chưa, vì tính năng AI của GitHub có thể đề xuất các bản sửa lỗi chỉ giải quyết một phần lỗ hổng bảo mật hoặc không bảo toàn chức năng mã dự định.
- GitHub dự định sẽ hỗ trợ thêm các ngôn ngữ khác trong những tháng tới, với C# và Go sẽ được hỗ trợ tiếp theo.

📌 GitHub đã ra mắt công cụ Code Scanning Autofix sử dụng AI để tự động sửa hơn 90% lỗ hổng bảo mật trong mã nguồn JavaScript, Typescript, Java và Python. Tính năng này giúp giảm thiểu nợ bảo mật ứng dụng, tiết kiệm thời gian cho các nhóm phát triển, tuy nhiên vẫn cần được xác minh kỹ lưỡng. GitHub sẽ hỗ trợ thêm C# và Go trong tương lai gần.

https://www.bleepingcomputer.com/news/security/githubs-new-ai-powered-tool-auto-fixes-vulnerabilities-in-your-code/