開源代碼漏洞正在成為企業(yè)面臨的最危險的開發(fā)安全問題。根據(jù)Synopsys最新發(fā)布的年度“開源安全與風險分析”報告，96%的經(jīng)過審計的代碼庫（涵蓋17個行業(yè)）都包含開源軟件。與此同時，84%的企業(yè)代碼庫所使用的開源軟件中至少包含一個漏洞，其中74%為高風險漏洞。

近日，GitHub推出了革命性的AI代碼掃描功能，可幫助開發(fā)人員在編碼過程中更快地修復漏洞。這個名為“代碼掃描自動修復”（Code Scanning Autofix）的功能目前正處于公開測試階段，并已自動啟用于所有使用GitHub高級安全(GHAS)的私有代碼庫。

“代碼掃描自動修復”功能由GitHub Copilot和CodeQL共同提供，可幫助修復超過90%的JavaScript、Typescript、Java和Python代碼漏洞預警類型。據(jù)GitHub聲稱，在GihHubCopilot的幫助下，開發(fā)者在編碼過程中只需少量甚至無需編輯即可解決超過三分之二的已發(fā)現(xiàn)漏洞。

在所支持的開發(fā)語言代碼中發(fā)現(xiàn)漏洞時，GitHub Copilot不但能以自然語言給出修復建議的解釋，還能生成供開發(fā)人員采用的代碼建議預覽。

該功能提供的代碼建議和解釋可能涉及對當前文件、多個文件以及當前項目依賴項的更改。實施這種方法可以顯著減少安全團隊每天需要處理的漏洞數(shù)量。

這反過來使安全團隊能夠?qū)⒕性诖_保企業(yè)的整體安全，而不是將大量資源分配給修復開發(fā)過程中引入的新安全漏洞。

不過，需要注意的是，開發(fā)人員應始終驗證安全問題是否已解決，因為GitHub的人工智能功能可能會建議僅部分修復安全漏洞或影響既定代碼功能的方案。

GitHub發(fā)言人指出：“代碼掃描自動修復功能可幫助開發(fā)人員在編碼過程中第一時間修復漏洞，從而緩解了‘應用安全債務’的增長。正如GitHubCopilot幫助開發(fā)人員擺脫繁瑣重復的任務一樣，代碼掃描自動修復也將幫助開發(fā)團隊大大節(jié)省用于漏洞修復的時間?！?/p>

GitHub計劃在未來幾個月內(nèi)支持更多開發(fā)語言，C#和Go將是接下來會支持的語言。

上個月，GitHub還為所有公共代碼庫默認啟用了推送保護功能，以防止在推送新代碼時意外泄露訪問令牌和API密鑰等機密信息。

2023年，這個問題尤為嚴重，當年全年通過超過300萬個公共代碼庫，GitHub用戶意外泄露了1280萬個身份驗證憑證和敏感機密。正如BleepingComputer所報道的，暴露的機密和憑證近年來已被用于多次重大網(wǎng)絡攻擊事件。