Alat AI terkini GitHub membantu pengguna membetulkan pepijat dan kelemahan secara automatik dalam kod mereka

Hari ini, GitHub melancarkan ciri "Imbasan Kod" baharu (pratonton) untuk semua pengguna berlesen Keselamatan Lanjutan (GHAS), yang direka untuk membantu pengguna mencari kemungkinan kelemahan keselamatan dan ralat pengekodan dalam kod GitHub.

Ciri baharu ini memanfaatkan Copilot dan CodeQL untuk mengesan potensi kelemahan atau ralat dalam kod anda, mengklasifikasikannya dan mengutamakan pembaikan. Adalah penting untuk ambil perhatian bahawa Imbasan Kod akan menggunakan minit Tindakan GitHub.

Menurut pengenalan, "pengimbasan kod" bukan sahaja boleh menghalang pembangun daripada memperkenalkan masalah baharu, tetapi juga boleh mencetuskan pengimbasan berdasarkan tarikh dan masa tertentu, atau apabila peristiwa tertentu (seperti tolakan) berlaku dalam repositori.

Jika AI mendapati bahawa mungkin terdapat kerentanan atau ralat dalam kod anda, GitHub akan memaklumkan anda dalam repositori dan membatalkan amaran selepas pengguna membetulkan kod yang mencetuskan amaran.

Untuk memantau hasil pengimbasan kod repositori atau organisasi anda, anda boleh memanfaatkan cangkuk web dan API pengimbasan kod. Selain itu, pengimbasan kod boleh saling beroperasi dengan alat pengimbasan kod pihak ketiga dengan menukar output dalam Format Data Keputusan Analisis Statik (SARIF).

Pada masa ini, terdapat tiga cara utama untuk menggunakan analisis CodeQL untuk CodeScan:

• Konfigurasikan analisis CodeQL untuk CodeScan dengan cepat pada repositori anda menggunakan tetapan lalai. Tetapan lalai secara automatik memilih bahasa untuk dianalisis, suite pertanyaan untuk dijalankan dan peristiwa yang mencetuskan imbasan, tetapi anda boleh memilih suite pertanyaan untuk dijalankan secara manual dan bahasa untuk dianalisis jika perlu. Apabila CodeQL didayakan, Tindakan GitHub akan menjalankan aliran kerja untuk mengimbas kod anda.
• Tambah aliran kerja CodeQL ke repositori menggunakan tetapan lanjutan. Ini menjana fail aliran kerja yang boleh disesuaikan yang menggunakan github/codeql-action untuk menjalankan CodeQL CLI.
• Jalankan CodeQL CLI terus dalam sistem CI luaran dan muat naik hasilnya ke GitHub.

GitHub berjanji bahawa sistem AI ini boleh membetulkan lebih daripada dua pertiga daripada kelemahan yang ditemuinya, jadi pembangun secara amnya tidak perlu mengedit kod secara aktif. Syarikat itu juga berjanji bahawa pemulihan automatik pengimbasan kod akan meliputi lebih daripada 90% jenis amaran dalam bahasa yang disokongnya, yang pada masa ini termasuk JavaScript, Typescript, Java dan Python.

Rujukan:

• 《Mengenai pengimbasan kod - GitHub Docs》
• 《Mengenai pengimbasan kod dengan CodeQL - GitHub Docs