Le dernier outil d'IA de GitHub aide les utilisateurs à corriger automatiquement les bugs et les vulnérabilités de leur code

Aujourd'hui, GitHub a lancé une nouvelle fonctionnalité "Code Scan" (aperçu) pour tous les utilisateurs sous licence Advanced Security (GHAS), conçue pour aider les utilisateurs à trouver des vulnérabilités de sécurité potentielles et des erreurs de codage dans le code GitHub.

Cette nouvelle fonctionnalité exploite Copilot et CodeQL pour détecter les vulnérabilités ou erreurs potentielles dans votre code, les classer et prioriser les correctifs. Il est important de noter que Code Scan consommera des minutes GitHub Actions.

Selon l'introduction, « l'analyse de code » peut non seulement empêcher les développeurs d'introduire de nouveaux problèmes, mais peut également déclencher une analyse en fonction de dates et d'heures spécifiques, ou lorsque des événements spécifiques (tels que des push) se produisent dans le référentiel.

Si l'IA détecte qu'il peut y avoir une vulnérabilité ou une erreur dans votre code, GitHub vous alertera dans le référentiel et annulera l'alerte une fois que l'utilisateur aura corrigé le code qui a déclenché l'alerte.

Pour surveiller les résultats de l'analyse du code de votre référentiel ou de votre organisation, vous pouvez tirer parti des webhooks et de l'API d'analyse du code. De plus, l'analyse de code peut interagir avec des outils d'analyse de code tiers en échangeant les résultats au format SARIF (Static Analysis Results Data Format).

Actuellement, il existe trois manières principales d'utiliser l'analyse CodeQL pour CodeScan :

• Configurez rapidement l'analyse CodeQL pour CodeScan sur votre référentiel en utilisant les paramètres par défaut. Les paramètres par défaut sélectionnent automatiquement les langues à analyser, les suites de requêtes à exécuter et les événements qui déclenchent l'analyse, mais vous pouvez sélectionner manuellement les suites de requêtes à exécuter et les langues à analyser si nécessaire. Lorsque CodeQL est activé, GitHub Actions exécutera un workflow pour analyser votre code.
• Ajoutez des workflows CodeQL au référentiel à l'aide des paramètres avancés. Cela génère un fichier de workflow personnalisable qui utilise github/codeql-action pour exécuter la CLI CodeQL.
• Exécutez la CLI CodeQL directement dans un système CI externe et téléchargez les résultats sur GitHub.

GitHub promet que ce système d'IA peut corriger plus des deux tiers des vulnérabilités trouvées, de sorte que les développeurs n'ont généralement pas besoin de modifier activement le code. La société promet également que la correction automatique par analyse de code couvrira plus de 90 % des types d’alertes dans ses langages pris en charge, qui incluent actuellement JavaScript, Typescript, Java et Python.

Références :

• 《À propos de l'analyse de code - GitHub Docs》
• 《À propos de l'analyse de code avec CodeQL - GitHub Docs》

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!