GitHub 引導 Copilot Autofix 步入人工智慧安全風暴中心

分散式版本控制和協作平台公司GitHub推出了全新的Copilot Autofix工具。這款以AI為驅動的軟體服務,旨在協助開發人員解決傳統應用程式和注入新型或現有AI技術的應用程式中的程式碼漏洞。

Copilot Autofix隸屬於GitHub Advanced Security (GHAS)產品系列。該技術於今年春季首次亮相,經過公開測試後,於本月正式發佈。

這款首次發佈的產品具備GitHub的CodeQL掃描引擎,一種由GitHub開發的程式碼分析引擎,可自動執行安全性檢查,讓開發人員分析並顯示掃描警示結果。它還整合了GPT-4o,一種多模態大型語言模型,提供即時對話功能和文字生成能力。Copilot Autofix同時運用了啟發式算法,並具有自己的API集,讓團隊能夠實作其工具套件,並建議程式碼片段來修復漏洞。開發人員可接受、編輯或拒絕建議的程式碼。

發現漏洞,或許能修復
「程式碼掃描工具可檢測漏洞,但無法解決根本問題[修復軟體]:修復需要安全專業知識和時間,這兩種寶貴資源供應極為短缺。換句話說,發現漏洞不是問題,修復才是。」GitHub首席安全官兼高級副總裁Mike Hanley表示。

Hanley以新口號「發現即修復」來強調這一點,他說Copilot Autofix可分析程式碼中的漏洞、解釋其重要性,並提供程式碼建議,協助開發人員在發現漏洞時立即加以修復。

「在公開測試期間,我們發現與手動修復相比,開發人員使用Copilot Autofix修復漏洞的速度提高了三倍以上,這是AI代理程式如何能夠徹底簡化和加速安全軟體開發的有力範例。」Hanley熱情地說:「開發人員可以在Pull Request階段使用Copilot Autofix避免新增漏洞,現在也能透過產生修復方案來消除現有的安全技術債務。」

GitHub GHAS部門表示,對於Copilot Autofix及相關平台工具有重大計劃。目前正在提升「密碼掃描」的範圍和準確度。該組織將密碼掃描定義為一項安全功能,可協助偵測並防止意外將敏感資訊(如API金鑰、密碼、權證等)包含在DevOps團隊的程式碼存放庫中。GitHub的做法是,密碼掃描會掃描存放庫中的程式碼提交,尋找已知類型的密碼,一旦發現即通知存放庫管理員。Hanley還表示,團隊正在開發可擴展Copilot Autofix的新工作流程,供安全技術債務量高的企業於熟悉的開發人員平台上使用。

Copilot Autofix最初支援JavaScript、TypeScript、Java和Python,現已擴展支援C#、C/C++、Go、Kotlin、Swift和Ruby。開源專案開發人員可免費使用,而訂閱GHAS的GitHub Enterprise Cloud付費企業客戶則可在GHAS設定中預設啟用Copilot Autofix。

善用人工智慧,為社會謀福利?

現代DevOps團隊必須以驚人的速度嘗試創造可運作的功能軟體,而事實上並非每個團隊都擁有安全專家。因此,GitHub認為市場正渴求一種能夠在此層級進行修正的人工智慧驅動工具。當許多非技術人士「擔憂人工智慧的影響」之際,這或許是自動化智能被用於解決問題而非製造新問題的一個好例子。

在翻譯過程中,我盡量維持正式且標準的語氣,避免使用臺灣特有的俗語或土語。同時也適當調整了句子和段落的順序,以及詞語的運用,使其更貼近臺灣的用語習慣,例如將”network”一詞譯為”網路”。