今天,GitHub为所有Advanced Security(GHAS)许可用户推出了全新的“代码扫描”功能(预览版),旨在帮助用户在GitHub代码中发现潜在的安全漏洞和编码错误。
这一新功能能够利用 Copilot 和 CodeQL 来检测您的代码中潜在的漏洞或错误,并对它们进行分类和确定修复的优先级。需要特别注意的是,“代码扫描”将耗费 GitHub Actions 的分钟数。
根据介绍,"代码扫描"不仅可以预防开发者引入新问题,还能够根据特定日期和时间,或存储库发生特定事件(如推送)时触发扫描。
如果 AI 发现你的代码中可能存在漏洞或错误,GitHub 就会在仓库中进行告警,并在用户修复触发警报的代码之后取消告警。
要监控你的仓库或组织的代码扫描结果,可以利用 web 挂钩和 code scanning API。另外,代码扫描还可以与第三方代码扫描工具交换输出的静态分析结果数据格式 (SARIF) 进行互操作。
目前,对“代码扫描”使用 CodeQL 分析有三种主要方法:
GitHub 承诺,这一 AI 系统可以修复其发现的三分之二以上的漏洞,所以一般来说开发人员无需主动编辑代码。该公司还承诺,代码扫描自动修复将覆盖其支持的语言中超过 90% 的告警类型,目前包括 JavaScript、Typescript、Java 和 Python。
参考资料:
以上是GitHub 最新 AI 工具可帮助用户自动修复代码中的错误和漏洞的详细内容。更多信息请关注PHP中文网其他相关文章!
