Avec l’IA, GitHub va détecter et corriger les vulnérabilités dans votre code !
"Code Scanning Autofix", c'est le nom de la nouvelle fonctionnalité lancée par GitHub ! Elle a pour objectif d'analyser votre code à la recherche de vulnérabilités, et surtout, d'automatiser la correction à votre place.
La fonctionnalité "Code Scanning Autofix" est disponible en beta publique, et elle est activée par défaut sur tous les dépôts privés des utilisateurs de GitHub Advanced Security. Elle bénéficie de l'intelligence artificielle au travers de GitHub Copilot et CodeQL, ce dernier étant le moteur d'analyse de code développé par GitHub pour automatiser les contrôles de sécurité.
Au sein de son article de blog, GitHub annonce que la correction automatique du code "couvre plus de 90% des types d'alertes en JavaScript, Typescript, Java et Python, et propose des suggestions de code permettant de corriger plus des deux tiers des vulnérabilités trouvées avec peu ou pas de modifications."
Il est à noter que cette fonctionnalité ne va pas uniquement corriger le code, elle va aussi prendre le temps de vous expliquer en langage naturel la suggestion de correction permettant d'améliorer la sécurité de votre code. GitHub précise que le développeur peut accepter, modifier ou rejeter la suggestion proposée par l'IA. L'analyse peut être effectuée sur un ou plusieurs fichiers, ainsi que sur les dépendances d'un projet.
Cette fonctionnalité est particulièrement intéressante pour augmenter le niveau de sécurité du code produit par les développeurs. Ceci permet d'avoir un suivi en "temps réel" de son code et de pouvoir être proactif dans la détection de vulnérabilités. Néanmoins, il faut garder à l'esprit que l'IA peut tenter de corriger une vulnérabilité, mais le correctif est-il réellement complet ? Il semble important de s'en assurer.
Dans les prochains mois, GitHub ajoutera la prise en charge de deux autres langages : C# et Go. En attendant, je vous laisse avec la vidéo de présentation de cette nouveauté :
Pour en savoir plus, vous pouvez consulter cette documentation officielle.