GitHub внедрил ИИ-проверку безопасности в пулл-реквесты

2 мин
GitHub внедрил ИИ-проверку безопасности в пулл-реквесты

GitHub расширил возможности сканирования кода: теперь платформа может автоматически искать потенциальные уязвимости с помощью искусственного интеллекта и показывать результаты прямо в пулл-реквесте. Новая функция охватывает языки и фреймворки, для которых пока нет встроенного анализа CodeQL. Сейчас она доступна в режиме публичного предварительного тестирования.

Что изменилось

ИИ-проверка запускается автоматически при создании или обновлении пулл-реквеста. Найденные проблемы отображаются вместе с остальными результатами сканирования кода, следовательно разработчик может изучить их и внести исправления до слияния изменений с главный веткой.

Срабатывания, полученные с помощью ИИ, помечаются меткой AI. Это даёт возможность отличить их от результатов статического анализа CodeQL. Результаты появляются по ходу завершения проверки: ждать окончания всех запущенных механизмов анализа не требуется.

Главная проблема функции — сократить слепые зоны в проектах, где часть кодовой базы написана на языках или использует фреймворки, которые CodeQL пока не поддерживает. Одновременно GitHub сообщает именно о потенциальных проблемах: ИИ-срабатывания носят информационный характер и не блокируют слияние пулл-реквестов. Решение о том, требует ли найденная проблема исправления, остаётся за разработчиком.

CodeQL по-прежнему необходим

Новая опция не заменяет CodeQL. Более того, для её работы в репозитории должен быть включён типовой режим настройки CodeQL — default setup.

Сам ИИ-анализ выполняет отдельный механизм GitHub, однако он использует инфраструктуру CodeQL. Следовательно активировать ИИ-проверку отдельно от штатного сканирования кода пока нельзя.

Сначала использование функции должен разрешить владелец корпоративной учётной записи на уровне предприятия. После этого её можно активировать на уровне организации для отдельных репозиториев или сразу для всей организации.

Кому доступна опция

ИИ-проверка безопасности доступна на github.com клиентам GitHub Code Security, входящего в GitHub Advanced Security. Для репозитория также должен быть настроен CodeQL в режиме default setup.

Во время публичного тестирования потребуется лицензия GitHub Copilot. Каждый запускание проверки расходует ИИ-кредиты организации, причём списание происходит только при фактическом выполнении анализа.

Пока GitHub не сообщает, изменятся ли условия доступа и тарификация после завершения предварительного тестирования.

Тему продолжим на бесплатном уроке 16 июля в 20:00, где преподаватель-практик разберёт, какие задачи в тестировании уже можно доверить ИИ, где он ошибается и какие навыки становятся важнее для QA. Присоединяйтесь.

Читают сейчас

Первое девайс OpenAI будет портативной колонкой без экрана, созданной в качестве ИИ-компаньона

28 минут назад

Первое девайс OpenAI будет портативной колонкой без экрана, созданной в качестве ИИ-компаньона

OpenAI готовится выйти на рынок потребительских устройств с портативной умной колонкой без экрана, созданной в качестве компаньона на искусственном интеллекте, пишет обозреватель Bloomberg Марк Гурман

«Гарда NDR» и DS Integrity EVO подтвердили совместимость

34 минуты назад

«Гарда NDR» и DS Integrity EVO подтвердили совместимость

Компании «Гарда» и «Цифровые решения» подтвердили совместимость системы выявления и реагирования на сложные сетевые угрозы «Гарда NDR» и брокера сетевых пакетов DS Integrity EVO. Читать далее

Selectel запустил ClickHouse в облаке

37 минут назад

Selectel запустил ClickHouse в облаке

В облачных базах данных Selectel появилась новая управляемая СУБД — ClickHouse. Рассказываем, в чем особенность нового решения, для каких задач оно подходит и как протестировать его бесплатно. Читать

1 час назад

В PT ISIM появилась техника безагентного сбора событий безопасности в технологическом сегменте

Positive Technologies, одна из лидирующих компаний в области результативной кибербезопасности, представила PT ISIM 6 — новое поколение системы обеспечения киберустойчивости промышленных инфраструктур.

Microsoft устанавливает рекорд: 570 уязвимостей исправлено в июльском выпуске обновлений безопасности

1 час назад

Microsoft устанавливает рекорд: 570 уязвимостей исправлено в июльском выпуске обновлений безопасности

Microsoft установила абсолютный рекорд, исправив 570 уязвимостей в июльском пакете обновлений безопасности. Столь масштабное устранение брешей в кодовой базе Windows, включая три критические уязвимост