« Trouvé signifie réparé », tel est le slogan du nouveau Copilot Autofix de GitHub. Les développeurs sont censés fournir un code de programmation sécurisé trois fois plus rapidement grâce à cet outil piloté par l'IA.Microsoft Copilot est un chatbot d'intelligence artificielle générative développé par Microsoft. Basé sur un grand modèle de langage, il a été lancé en février 2023 en tant que principal remplaçant de Cortana, qui a été abandonné par Microsoft.
Copilot Autofix ne fait pas partie de l'offre standard de GitHub Copilot. Les comptes d'entreprise peuvent opter pour GitHub Advanced Security (GHAS), qui détecte désormais les vulnérabilités encore plus rapidement et plus clairement. Lors de la version bêta publique, il a été constaté que les utilisateurs d'Autofix corrigeaient les vulnérabilités trois fois plus vite que les utilisateurs qui devaient le faire manuellement. Quel est le secret de cet outil ?
La promesse d'Autofix ne se limite pas à sa rapidité. La raison de ce rythme fulgurant : les développeurs savent plus rapidement pourquoi une vulnérabilité se produit, et pas seulement qu'il y a un risque potentiel. Autofix explique la vulnérabilité d'un code et propose immédiatement une alternative.
GitHub sait également qu'il vaut mieux prévenir que guérir. Autofix est donc particulièrement conçu comme un outil de prévention pour différents types de vulnérabilités. Par exemple, GitHub lui-même cite les injections SQL et les scripts intersites. La mise en œuvre d'un correctif sur la base d'une alerte GitHub prend normalement une heure et demie, mais grâce à Autofix, elle prend 28 minutes. Pour les scripts intersites, le gain de vitesse est encore plus important : 22 minutes contre trois heures ; les vulnérabilités liées aux injections SQL ne prennent que 18 minutes à résoudre avec Autofix, alors qu'il faut habituellement 3,7 heures.
Autofix peut également venir à la rescousse des vulnérabilités existantes. Avec Autofix, une alerte d'analyse dans le GHAS comprend un bouton « Générer un correctif » avec la même fonctionnalité qu'Autofix ailleurs. Il est également possible de créer une demande d'extraction avec le nouveau correctif piloté par l'IA. Étant donné que l'IA permet également de nettoyer le code existant, GitHub estime que les organisations ont la possibilité d'éliminer « des années de dettes de sécurité accumulées ».
Les développeurs produisent des logiciels plus rapidement qu'on ne l'aurait imaginé auparavant, en publiant de nouvelles fonctionnalités très tôt et très souvent. Pourtant, malgré tous leurs efforts pour coder de manière sécurisée, des vulnérabilités logicielles se retrouvent par inadvertance dans la production et continuent d'être l'une des principales causes d'intrusion aujourd'hui. En outre, de nombreux développeurs estiment que les exigences en matière de sécurité sont difficiles à comprendre et à mettre en œuvre, ce qui complique l'obtention de bons résultats en matière de sécurité et se traduit par un plus grand nombre de vulnérabilités dans la nature.
Les outils d'analyse de code détectent les vulnérabilités, mais ne s'attaquent pas au problème fondamental : la remédiation nécessite des compétences en matière de sécurité et du temps, deux ressources précieuses qui font cruellement défaut. En d'autres termes, le problème n'est pas de trouver des vulnérabilités, mais de les corriger. C'est de les corriger qui l'est.
C'est pourquoi GitHub a annoncé la disponibilité générale de la remédiation pilotée par l'IA avec Copilot Autofix dans GitHub Advanced Security (GHAS). Copilot Autofix analyse les vulnérabilités dans le code, explique pourquoi elles sont importantes et propose des suggestions de code qui aident les développeurs à corriger les vulnérabilités aussi vite qu'elles sont trouvées. Au cours de la version bêta publique, il a été constaté que les développeurs corrigeaient les vulnérabilités du code plus de trois fois plus vite que ceux qui le faisaient manuellement, ce qui illustre parfaitement la manière dont les agents d'intelligence artificielle peuvent radicalement simplifier et accélérer le développement de logiciels sécurisés.
Les développeurs peuvent éviter que de nouvelles vulnérabilités n'apparaissent dans leur code grâce à Copilot Autofix dans la demande d'extraction et, désormais, ils peuvent également rembourser l'arriéré de la dette de sécurité en générant des correctifs pour les vulnérabilités existantes.
Éliminer les nouvelles vulnérabilités du code
Depuis son introduction dans la version bêta publique en mars 2024, les développeurs ont utilisé Copilot Autofix dans leurs demandes d'extraction pour les aider à corriger rapidement les vulnérabilités dans le nouveau code avant qu'elles ne soient fusionnées dans la production où elles peuvent avoir un impact sur les clients. Des corrections peuvent être générées pour des dizaines de classes de vulnérabilités de code, telles que l'injection SQL et les scripts intersites, que les développeurs peuvent rejeter, modifier ou valider dans leur demande d'extraction.
Sur la base des données des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.