GitHub lanceert AI-tool die oplossingen voor kwetsbaarheden suggereert
Ontwikkelaarsplatform GitHub heeft een AI-tool gelanceerd die oplossingen suggereert voor kwetsbaarheden die het in de code van ontwikkelaars aantreft. Wanneer 'code scanning autofix' een beveiligingslek aantreft, stelt het ontwikkelaars een fix voor die het probleem moet verhelpen. Daarbij wordt in natuurlijke taal uitgelegd wat de fix precies doet, alsmede een preview van de code-aanpassing die de ontwikkelaar vervolgens kan accepteren, aanpassen of negeren.
Code scanning autofix maakt gebruik van 'AI developer tool' GitHub Copilot en CodeQL. GitHub claimt dat code scanning autofix meer dan negentig procent van de alert types in JavaScript, Typescript, Java en Python herkent en de aangeboden oplossing meer dan twee derde van de gevonden kwetsbaarheden verhelpt, waarbij de ontwikkelaar weinig of geen aanpassingen hoeft te maken.
"Het idee achter autofix is eenvoudig: wanneer een codeanalysetool zoals CodeQL een probleem detecteert, sturen we code en een omschrijving van het probleem naar een large language model (LLM), met de vraag om code-aanpassingen voor te stellen die het probleem verhelpen zonder de functionaliteit van de code aan te passen", zegt Tiferet Gazit van GitHub.
De scans zijn in te plannen of vinden bij bepaalde gebeurtenissen plaats, zoals push of pull requests. Wanneer een probleem wordt gevonden krijgt de gebruiker een melding te zien. Op dit moment is code scanning autofix ingeschakeld voor pull request waarin JavaScript en TypeScript alerts worden gevonden. GitHub zegt dat het de ondersteunde programmeertalen gaat uitbreiden, waarbij als eerste C# en Go aan de beurt zijn.
Daarnaast monitort GitHub wat ontwikkelaars met de voorgestelde suggesties doen en wordt er ook allerlei telemetrie verzameld. Verder stelt GitHub dat ontwikkelaars zelf verantwoordelijk zijn voor de veiligheid en nauwkeurigheid van hun code en het ook hun verantwoordelijkheid is om de voorgestelde suggesties te controleren. Code scanning autofix bevindt zich nog in de bètafase en is beschikbaar voor GitHub Advanced Security-klanten.
Maar het heeft inmiddels wel toegang tot X of eertijds twitter.
Een zoekmachine met A.I. ondersteuning heeft dat wel, internet toegang. Ha, die Leo!
A.I. wordt al gebruikt ter technische ondersteuning van developers.
En voor script beveiligingsinstructies nu dus ook.
Wat maakt dat black hats niet hetzelfde zouden doen?
A.I. kan aan de ene kant een zegen zijn en aan de andere kant een grote ramp betekenen.
Het is als met alle tools, je kan er mee scheppen en vernietigen.
Goed en kwaad zijn twee kanten van de ene werkelijkheid, dat leert kaballah maar al te duidelijk.
Maar het heeft inmiddels wel toegang tot X of eertijds twitter.
Een zoekmachine met A.I. ondersteuning heeft dat wel, internet toegang. Ha, die Leo!
A.I. wordt al gebruikt ter technische ondersteuning van developers.
En voor script beveiligingsinstructies nu dus ook.
Wat maakt dat black hats niet hetzelfde zouden doen?
A.I. kan aan de ene kant een zegen zijn en aan de andere kant een grote ramp betekenen.
Het is als met alle tools, je kan er mee scheppen en vernietigen.
Goed en kwaad zijn twee kanten van de ene werkelijkheid, dat leert kaballah maar al te duidelijk.
Dit is van alle dagen, en voor alles is er een tegenpool, komt vast wel goed ondanks dat het geavanceerder is, oude compitervirussen waren vroeger ook heel geavanceerd en ook daar is nu veel tegen te doen.
Voor de meeste slechte dingen is er vaak een tegenantwoord.
Het is een beetje zoals oorlog, dat gebeurd al zeer lang, maar mensen leven gewoon niet lang genoeg om de herhaling van die cyclus te herinneren, datzelfde geldt ook voor cyberdreigingen en security.
Over tien jaar is dit alweer zwaar verouderd, maar de filosofie erachter blijft ongeveer hetzelfde.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
