GitHub, piattaforma per il code hosting di proprietà della Casa di Redmond, ha presentato la versione beta di un nuovo strumento dedicato alla scansione del codice per la ricerca di vulnerabilità. Tale funzionalità è stata integrata in GitHub Copilot, l’assistente virtuale AI per gli sviluppatori dello stesso servizio, e si basa sul linguaggio di query CodeQL.
Quest’ultimo include un insieme di tool sviluppati da GitHub per l’analisi statica del codice. è stato progettato per identificare problemi di sicurezza, bug e altri tipi di vulnerabilità nel codice sorgente di un’applicazione. Scrivendo query in CodeQL si possono eseguire analisi approfondite del sorgente per individuare problemi comuni come vulnerabilità di sicurezza o errori di programmazione.
Meet code scanning autofix, the new AI security expertise now built into GitHub Advanced Security! https://t.co/cTDuKZCWMv
— GitHub (@github) March 20, 2024
I linguaggi supportati sono numerosi, tra cui alcuni dei più utilizzati come per esempio Python, JavaScript, TypeScript e Java. Stando ai risultati ottenuti fino ad ora durante le fasi di test, l’autofix dovrebbe essere in grado di intercettare almeno il 90% degli avvisi che potrebbero essere prodotti dall’esecuzione di un codice che presenta dei problemi di sicurezza.
Lo scopo di questa funzionalità è quello di rendere più rapido il processo che porta dallo sviluppo alla distribuzione di un un’applicazione, passando per il debugging. Ciò avviene grazie all’automatizzazione di tutte le fasi che prevedono di dover svolgere task ripetitivi, con la possibilità di concentrarsi sui compiti più creativi della programmazione.
Nello stesso modo questo strumento dovrebbe permettere di realizzare applicazioni più sicure e quindi meno vulnerabili ad attacchi. GitHub ha comunque sottolineato che esso deve essere considerato come un tool per la riduzione dei rischi eventualmente connessi al codice sviluppato, è quindi sempre probabile che alcune vulnerabilità non vengano identificate.