開源代碼漏洞正在成為企業(yè)面臨的最危險(xiǎn)的開發(fā)安全問題。根據(jù)Synopsys最新發(fā)布的年度“開源安全與風(fēng)險(xiǎn)分析”報(bào)告，96%的經(jīng)過審計(jì)的代碼庫（涵蓋17個(gè)行業(yè)）都包含開源軟件。與此同時(shí)，84%的企業(yè)代碼庫所使用的開源軟件中至少包含一個(gè)漏洞，其中74%為高風(fēng)險(xiǎn)漏洞。

近日，GitHub推出了革命性的AI代碼掃描功能，可幫助開發(fā)人員在編碼過程中更快地修復(fù)漏洞。這個(gè)名為“代碼掃描自動(dòng)修復(fù)”（Code Scanning Autofix）的功能目前正處于公開測試階段，并已自動(dòng)啟用于所有使用GitHub高級安全(GHAS)的私有代碼庫。

“代碼掃描自動(dòng)修復(fù)”功能由GitHub Copilot和CodeQL共同提供，可幫助修復(fù)超過90%的JavaScript、Typescript、Java和Python代碼漏洞預(yù)警類型。據(jù)GitHub聲稱，在GihHubCopilot的幫助下，開發(fā)者在編碼過程中只需少量甚至無需編輯即可解決超過三分之二的已發(fā)現(xiàn)漏洞。

在所支持的開發(fā)語言代碼中發(fā)現(xiàn)漏洞時(shí)，GitHub Copilot不但能以自然語言給出修復(fù)建議的解釋，還能生成供開發(fā)人員采用的代碼建議預(yù)覽。

該功能提供的代碼建議和解釋可能涉及對當(dāng)前文件、多個(gè)文件以及當(dāng)前項(xiàng)目依賴項(xiàng)的更改。實(shí)施這種方法可以顯著減少安全團(tuán)隊(duì)每天需要處理的漏洞數(shù)量。

這反過來使安全團(tuán)隊(duì)能夠?qū)⒕性诖_保企業(yè)的整體安全，而不是將大量資源分配給修復(fù)開發(fā)過程中引入的新安全漏洞。

不過，需要注意的是，開發(fā)人員應(yīng)始終驗(yàn)證安全問題是否已解決，因?yàn)镚itHub的人工智能功能可能會建議僅部分修復(fù)安全漏洞或影響既定代碼功能的方案。

GitHub發(fā)言人指出：“代碼掃描自動(dòng)修復(fù)功能可幫助開發(fā)人員在編碼過程中第一時(shí)間修復(fù)漏洞，從而緩解了‘應(yīng)用安全債務(wù)’的增長。正如GitHubCopilot幫助開發(fā)人員擺脫繁瑣重復(fù)的任務(wù)一樣，代碼掃描自動(dòng)修復(fù)也將幫助開發(fā)團(tuán)隊(duì)大大節(jié)省用于漏洞修復(fù)的時(shí)間?！?/p>

GitHub計(jì)劃在未來幾個(gè)月內(nèi)支持更多開發(fā)語言，C#和Go將是接下來會支持的語言。

上個(gè)月，GitHub還為所有公共代碼庫默認(rèn)啟用了推送保護(hù)功能，以防止在推送新代碼時(shí)意外泄露訪問令牌和API密鑰等機(jī)密信息。

2023年，這個(gè)問題尤為嚴(yán)重，當(dāng)年全年通過超過300萬個(gè)公共代碼庫，GitHub用戶意外泄露了1280萬個(gè)身份驗(yàn)證憑證和敏感機(jī)密。正如BleepingComputer所報(bào)道的，暴露的機(jī)密和憑證近年來已被用于多次重大網(wǎng)絡(luò)攻擊事件。