GitHub 最新 AI 工具可協助使用者自動修復程式碼中的錯誤和漏洞

今天，GitHub為所有Advanced Security（GHAS）授權用戶推出了全新的「程式碼掃描」功能（預覽版），旨在幫助用戶在GitHub程式碼中發現潛在的安全漏洞和編碼錯誤。

這項新功能能夠利用 Copilot 和 CodeQL 來偵測您的程式碼中潛在的漏洞或錯誤，並對它們進行分類和確定修復的優先順序。需要特別注意的是，「程式碼掃描」將耗費 GitHub Actions 的分鐘數。

根據介紹，"程式碼掃描"不僅可以預防開發者引入新問題，還能夠根據特定日期和時間，或儲存庫發生特定事件（如推送）時觸發掃描。

如果 AI 發現你的程式碼中可能有漏洞或錯誤，GitHub 就會在倉庫中進行告警，並在使用者修復觸發警報的程式碼之後取消警告。

要監控你的倉庫或組織的程式碼掃描結果，可以利用 web 掛鉤和 code scanning API。另外，程式碼掃描還可以與第三方程式碼掃描工具交換輸出的靜態分析結果資料格式 (SARIF) 進行互通。

目前，對「程式碼掃描」使用 CodeQL 分析有三種主要方法：

• 使用預設設定在儲存庫上快速配置對「程式碼掃描」的 CodeQL 分析。預設會自動選擇要分析的語言、要執行的查詢套件和觸發掃描的事件，如果需要也可以手動選擇要執行的查詢套件以及要分析的語言。啟用 CodeQL 後，GitHub Actions 將執行工作流程運行以掃描程式碼。
• 使用進階設定將 CodeQL 工作流程新增至儲存庫。這會產生一個可自訂的工作流程文件，該文件使用 github / codeql-action 來執行 CodeQL CLI。
• 直接在外部 CI 系統中執行 CodeQL CLI 並將結果上傳到 GitHub。

GitHub 承諾，這個 AI 系統可以修復其發現的三分之二以上的漏洞，所以一般來說開發人員不需要主動編輯程式碼。該公司還承諾，程式碼掃描自動修復將覆蓋其支援的語言中超過 90% 的警告類型，目前包括 JavaScript、Typescript、Java 和 Python。

參考資料：

• 《About code scanning - GitHub Docs》
• 《About code scanning with CodeQL - GitHub Docs》

#

以上是GitHub 最新 AI 工具可協助使用者自動修復程式碼中的錯誤和漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！