Das neueste KI-Tool von GitHub hilft Benutzern, Fehler und Schwachstellen in ihrem Code automatisch zu beheben

Heute hat GitHub eine neue Funktion „Code Scan“ (Vorschau) für alle Benutzer mit Advanced Security (GHAS)-Lizenz eingeführt, die Benutzern dabei helfen soll, potenzielle Sicherheitslücken und Codierungsfehler im GitHub-Code zu finden.

Diese neue Funktion nutzt Copilot und CodeQL, um potenzielle Schwachstellen oder Fehler in Ihrem Code zu erkennen, sie zu klassifizieren und Korrekturen zu priorisieren. Es ist wichtig zu beachten, dass der Code-Scan GitHub Actions-Minuten in Anspruch nimmt.

Der Einleitung zufolge kann „Code-Scanning“ nicht nur verhindern, dass Entwickler neue Probleme einführen, sondern kann auch Scans basierend auf bestimmten Daten und Zeiten oder beim Auftreten bestimmter Ereignisse (z. B. Pushs) im Repository auslösen.

Wenn AI feststellt, dass möglicherweise eine Schwachstelle oder ein Fehler in Ihrem Code vorliegt, werden Sie von GitHub im Repository benachrichtigt und die Warnung abgebrochen, nachdem der Benutzer den Code korrigiert hat, der die Warnung ausgelöst hat.

Um die Code-Scan-Ergebnisse Ihres Repositorys oder Ihrer Organisation zu überwachen, können Sie Web-Hooks und die Code-Scan-API nutzen. Darüber hinaus kann das Code-Scannen mit Code-Scan-Tools von Drittanbietern zusammenarbeiten, indem die Ausgabe im Static Analysis Results Data Format (SARIF) ausgetauscht wird.

Derzeit gibt es drei Hauptmöglichkeiten, die CodeQL-Analyse für CodeScan zu verwenden:

• Konfigurieren Sie schnell die CodeQL-Analyse für CodeScan in Ihrem Repository mit Standardeinstellungen. Die Standardeinstellungen wählen automatisch die zu analysierenden Sprachen, die auszuführenden Abfragesuiten und die Ereignisse aus, die den Scan auslösen. Bei Bedarf können Sie jedoch die auszuführenden Abfragesuiten und die zu analysierenden Sprachen manuell auswählen. Wenn CodeQL aktiviert ist, führt GitHub Actions einen Workflow-Lauf durch, um Ihren Code zu scannen.
• Fügen Sie CodeQL-Workflows mithilfe erweiterter Einstellungen zum Repository hinzu. Dadurch wird eine anpassbare Workflow-Datei generiert, die github/codeql-action zum Ausführen der CodeQL-CLI verwendet.
• Führen Sie die CodeQL-CLI direkt in einem externen CI-System aus und laden Sie die Ergebnisse auf GitHub hoch.

GitHub verspricht, dass dieses KI-System mehr als zwei Drittel der gefundenen Schwachstellen beheben kann, sodass Entwickler den Code im Allgemeinen nicht aktiv bearbeiten müssen. Das Unternehmen verspricht außerdem, dass die automatische Code-Scan-Behebung mehr als 90 % der Alarmtypen in den unterstützten Sprachen abdecken wird, zu denen derzeit JavaScript, Typescript, Java und Python gehören.

Referenzen:

• 《Über Code-Scanning – GitHub Docs》
• 《Über Code-Scanning mit CodeQL – GitHub Docs》

Das obige ist der detaillierte Inhalt vonDas neueste KI-Tool von GitHub hilft Benutzern, Fehler und Schwachstellen in ihrem Code automatisch zu beheben. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!