GitHub aprimora recursos de segurança com IA

Plataforma de hospedagem de código adiciona recursos de segurança baseados em inteligência artificial para ajudar os desenvolvedores a identificar e resolver vulnerabilidades de código com mais rapidez
Da Redação
09/11/2023

A plataforma de hospedagem de código GitHub, de propriedade da Microsoft, anunciou nesta quarta-feira, 8, a disponibilidade de três novos recursos baseados em inteligência artificial (IA) no GitHub Advanced Security. Disponível para clientes do GitHub Enterprise Cloud e Enterprise Server, a série de recursos visam ajudar os desenvolvedores de software a manter e melhorar a qualidade do código. O GitHub Advanced Security já lançou mais de 70 mecanismos para melhoria nos testes de segurança de aplicativos e na cadeia de suprimentos de software.

Entre as novidades, a correção automática de escaneamento de código promete ganhos na produtividade e um código mais seguro. Utilizando a tecnologia do mecanismo de análise estática CodeQL do GitHub, a solução foi projetada para ajudar os desenvolvedores a corrigirem falhas rapidamente, enviando correções geradas por IA para alertas de CodeQL, JavaScript e TypeScript diretamente em pull requests (fóruns para propostas de alterações nos projetos, feedback e revisões).

Após a análise do CodeQL, o GitHub consulta um grande modelo de linguagem (LLM) avançado para correções de quaisquer novos alertas. Essas sugestões de correção geradas por IA são enviadas como sugestões de código nas guias “conversation” (conversa) e “files changed” (arquivos alterados) do pull request, sendo possível visualizar e aceitar as alterações recomendadas e até mesmo editar as correções antes de fazer  merge à base de código. 

Outra melhoria é a detecção de senhas vazadas com o escaneamento de credenciais. Por não terem um padrão específico, senhas são dificilmente identificadas pelo escaneamento de credenciais, porém, a última geração de LLMs, impulsionada por IA, viabiliza encontrar senhas com menos falsos positivos do que os métodos tradicionais. Assim, o material detectado é exibido em uma guia separada, na qual gerentes de segurança e os proprietários de repositórios podem visualizar os alertas sobre uma senha vazada e possivelmente ativa. Atualmente, o escaneamento de credenciais está disponível somente na versão beta pública limitada.

O último novo recurso é o gerador de expressões regulares para padrões personalizados. Escrever expressões regulares pode ser complexo devido aos muitos parâmetros e nuances envolvidos. Para atender essa dor, o GitHub agora inclui uma experiência baseada em IA para a criação de padrões personalizados. Por meio de um formulário, basta responder algumas perguntas simples para gerar automaticamente padrões personalizados na forma de expressões regulares. Esse novo recurso permite que aqueles que trabalham com desenvolvimento executem testes em tempo real para garantir o escaneamento adequado antes de salvar o padrão recém-criado. 

Veja isso
Repositórios do GitHub assolados por roubo de informações
GitHub libera chaves de acesso para ‘autenticação’ sem senha

Além das novas funcionalidades, melhorias no novo painel da visão geral de segurança permitem que gerentes e administradores de segurança tenham acesso a análise de tendências históricas para alertas de segurança no GitHub, auxiliando no entendimento da postura de segurança de cada organização por meio das lentes de risco, remediação e prevenção:

  • Risco. Demonstra as descobertas de segurança em seus repositórios, bem como onde há aumentos ou reduções nas descobertas e as suas categorias.
     
  • Remediação. Auxilia no entendimento da eficácia das práticas de correção. Por exemplo, quantas constatações de segurança foram fechadas e o tempo médio geral de correção de sua organização. 
  • Prevenção. Oferece uma visão clara de onde os bugs de segurança são evitados por meio de recursos como o push protection.

As novidades ajudarão pessoas desenvolvedoras e equipes de segurança a colaborar de forma mais eficaz para encontrar e corrigir falhas de segurança onde já trabalham, tudo dentro do GitHub. “Essas atualizações não apenas economizam um tempo incrível de trabalho, mas também ajudam a obter a cobertura necessária para garantir a segurança de credenciais. Com a IA, temos o potencial de revolucionar a criação de aplicativos seguros desde o início e transformar a definição tradicional de testes ‘shift-left’”, afirma Asha Chakrabarty, vice-presidente de gerenciamento de produtos do GitHub.

Compartilhar:

Últimas Notícias