GitHub の最新 AI ツールは、ユーザーがコード内のバグや脆弱性を自動的に修正するのに役立ちます

本日、GitHub は、すべての Advanced Security (GHAS) ライセンスを持つユーザーを対象に、GitHub コード内の潜在的なセキュリティ脆弱性をユーザーが発見できるように設計された新しい「コード スキャン」機能 (プレビュー) を開始しました。そしてコーディングエラー。

この新機能は、Copilot と CodeQL を活用して、コード内の潜在的な脆弱性やエラーを検出し、分類し、修復に優先順位を付けます。コード スキャンには GitHub Actions 分が消費されることに注意することが重要です。

導入部分によると、「コード スキャン」は、開発者が新たな問題を引き起こすのを防ぐだけでなく、特定の日時、またはリポジトリ内で特定のイベント (プッシュなど) が発生したときにスキャンをトリガーすることもできます。 。

AI がコードに脆弱性またはエラーがある可能性を発見した場合、GitHub はリポジトリにアラートを発行し、ユーザーがアラートをトリガーしたコードを修正した後にアラートをキャンセルします。

リポジトリまたは組織のコード スキャン結果を監視するには、Web フックとコード スキャン API を利用できます。さらに、コード スキャンは、出力を静的分析結果データ形式 (SARIF) で交換することにより、サードパーティのコード スキャン ツールと相互運用できます。

現在、CodeScan の CodeQL 分析を使用するには、主に 3 つの方法があります。

• デフォルト設定を使用して、リポジトリ上で CodeScan の CodeQL 分析をすばやく構成します。デフォルト設定では、分析する言語、実行するクエリ スイート、スキャンをトリガーするイベントが自動的に選択されますが、必要に応じて、実行するクエリ スイートと分析する言語を手動で選択できます。 CodeQL が有効になっている場合、GitHub Actions はワークフローを実行してコードをスキャンします。
• 詳細設定を使用して、CodeQL ワークフローをリポジトリに追加します。これにより、github/codeql-action を使用して CodeQL CLI を実行するカスタマイズ可能なワークフロー ファイルが生成されます。
• CodeQL CLI を外部 CI システムで直接実行し、結果を GitHub にアップロードします。

GitHub は、この AI システムが発見した脆弱性の 3 分の 2 以上を修正できると約束しているため、通常、開発者はコードを積極的に編集する必要はありません。同社はまた、コード スキャンの自動修復により、現在 JavaScript、Typescript、Java、Python を含むサポート対象言語のアラート タイプの 90% 以上をカバーすると約束しています。

参考資料:

• 《コード スキャンについて - GitHub Docs》
• 《コードについてCodeQL を使用したスキャン - GitHub Docs>>

以上がGitHub の最新 AI ツールは、ユーザーがコード内のバグや脆弱性を自動的に修正するのに役立ちますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。