image

GitHub lanceert AI-tool die oplossingen voor kwetsbaarheden suggereert

donderdag 21 maart 2024, 11:21 door Redactie, 4 reacties

Ontwikkelaarsplatform GitHub heeft een AI-tool gelanceerd die oplossingen suggereert voor kwetsbaarheden die het in de code van ontwikkelaars aantreft. Wanneer 'code scanning autofix' een beveiligingslek aantreft, stelt het ontwikkelaars een fix voor die het probleem moet verhelpen. Daarbij wordt in natuurlijke taal uitgelegd wat de fix precies doet, alsmede een preview van de code-aanpassing die de ontwikkelaar vervolgens kan accepteren, aanpassen of negeren.

Code scanning autofix maakt gebruik van 'AI developer tool' GitHub Copilot en CodeQL. GitHub claimt dat code scanning autofix meer dan negentig procent van de alert types in JavaScript, Typescript, Java en Python herkent en de aangeboden oplossing meer dan twee derde van de gevonden kwetsbaarheden verhelpt, waarbij de ontwikkelaar weinig of geen aanpassingen hoeft te maken.

"Het idee achter autofix is eenvoudig: wanneer een codeanalysetool zoals CodeQL een probleem detecteert, sturen we code en een omschrijving van het probleem naar een large language model (LLM), met de vraag om code-aanpassingen voor te stellen die het probleem verhelpen zonder de functionaliteit van de code aan te passen", zegt Tiferet Gazit van GitHub.

De scans zijn in te plannen of vinden bij bepaalde gebeurtenissen plaats, zoals push of pull requests. Wanneer een probleem wordt gevonden krijgt de gebruiker een melding te zien. Op dit moment is code scanning autofix ingeschakeld voor pull request waarin JavaScript en TypeScript alerts worden gevonden. GitHub zegt dat het de ondersteunde programmeertalen gaat uitbreiden, waarbij als eerste C# en Go aan de beurt zijn.

Daarnaast monitort GitHub wat ontwikkelaars met de voorgestelde suggesties doen en wordt er ook allerlei telemetrie verzameld. Verder stelt GitHub dat ontwikkelaars zelf verantwoordelijk zijn voor de veiligheid en nauwkeurigheid van hun code en het ook hun verantwoordelijkheid is om de voorgestelde suggesties te controleren. Code scanning autofix bevindt zich nog in de bètafase en is beschikbaar voor GitHub Advanced Security-klanten.

Image

Reacties (4)
21-03-2024, 14:59 door Anoniem
Cool, versnelde pentesting en oplossingen en daarmee verbeterde beveiliging.
21-03-2024, 15:01 door Anoniem
Dan komt er mogelijk ook een tool die veiligheidslekken suggereert.
21-03-2024, 19:06 door Anoniem
Het is in vele gevallen een goed gebruik dat de A.I. geen directe toegang tot Internet heeft.
Maar het heeft inmiddels wel toegang tot X of eertijds twitter.

Een zoekmachine met A.I. ondersteuning heeft dat wel, internet toegang. Ha, die Leo!

A.I. wordt al gebruikt ter technische ondersteuning van developers.
En voor script beveiligingsinstructies nu dus ook.

Wat maakt dat black hats niet hetzelfde zouden doen?

A.I. kan aan de ene kant een zegen zijn en aan de andere kant een grote ramp betekenen.

Het is als met alle tools, je kan er mee scheppen en vernietigen.

Goed en kwaad zijn twee kanten van de ene werkelijkheid, dat leert kaballah maar al te duidelijk.
22-03-2024, 01:05 door Anoniem
Door Anoniem: Het is in vele gevallen een goed gebruik dat de A.I. geen directe toegang tot Internet heeft.
Maar het heeft inmiddels wel toegang tot X of eertijds twitter.

Een zoekmachine met A.I. ondersteuning heeft dat wel, internet toegang. Ha, die Leo!

A.I. wordt al gebruikt ter technische ondersteuning van developers.
En voor script beveiligingsinstructies nu dus ook.

Wat maakt dat black hats niet hetzelfde zouden doen?

A.I. kan aan de ene kant een zegen zijn en aan de andere kant een grote ramp betekenen.

Het is als met alle tools, je kan er mee scheppen en vernietigen.

Goed en kwaad zijn twee kanten van de ene werkelijkheid, dat leert kaballah maar al te duidelijk.

Dit is van alle dagen, en voor alles is er een tegenpool, komt vast wel goed ondanks dat het geavanceerder is, oude compitervirussen waren vroeger ook heel geavanceerd en ook daar is nu veel tegen te doen.
Voor de meeste slechte dingen is er vaak een tegenantwoord.
Het is een beetje zoals oorlog, dat gebeurd al zeer lang, maar mensen leven gewoon niet lang genoeg om de herhaling van die cyclus te herinneren, datzelfde geldt ook voor cyberdreigingen en security.
Over tien jaar is dit alweer zwaar verouderd, maar de filosofie erachter blijft ongeveer hetzelfde.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.