GitHub: Copilot Autofix elimina vulnerabilidades de segurança com IA

Apesar dos esforços para codificar de forma segura, vulnerabilidades de software acabam acidentalmente entrando em produção, sendo uma das principais causas de brechas de segurança atualmente. Ferramentas de Code Scanning identificam essas falhas, mas não resolvem o problema fundamental de corrigi-las. O GitHub, plataforma para desenvolvedores impulsionada por IA , anuncia a disponibilidade geral do Copilot Autofix no GitHub Advanced Security (GHAS). Com ele, os desenvolvedores podem corrigir vulnerabilidades de código três vezes mais rápido do que aqueles que o fazem manualmente, demonstrando como agentes de IA podem simplificar e acelerar o desenvolvimento de software seguro.

Segundo Dados de clientes do beta público entre maio e julho de 2024, o Copilot Autofix já mostrou reduções no tempo entre a detecção e a remediação das vulnerabilidades. Com o Copilot Autofix, o tempo médio gasto pelos os desenvolvedores para executar automaticamente a correção de um alerta de Pull Request foi três vezes mais rápido, 28 minutos, em comparação com 1,5 horas para resolver os mesmos alertas manualmente. Vulnerabilidades de cross-site scripting (manipulação de site vulnerável) levaram 22 minutos, em comparação com quase três horas, e vulnerabilidades de SQL injection (manipulação de banco de Dados com código) 18 minutos, em comparação com 3,7 horas.

De acordo com Kevin Cooper, engenheiro principal da Optum, desde a implementação do Copilot Autofix, eles observaram uma redução de 60% no tempo gasto em revisões de código relacionadas à segurança e um aumento de 25% na produtividade geral de desenvolvimento. “No setor de saúde, em que a segurança é crítica, o recurso nos ajuda a agir rapidamente com soluções comprovadas da indústria. Essa abordagem proativa para a segurança nos ajuda a prevenir problemas potenciais, economizando milhares de horas por mês que seriam gastas na remediação.”

O Copilot Autofix acelera o ritmo de correções para que as equipes de segurança avancem no Backlog de vulnerabilidades existentes, comumente conhecido como “dívida de segurança”. Vulnerabilidades podem durar para sempre, e quanto mais tempo permanecerem inativas, mais complexas e custosas ficam para corrigir. Quando um desenvolvedor é solicitado a corrigir vulnerabilidades em um código que não viu há um tempo ou não está familiarizado, pode levar horas para avaliar o quadro geral e experimentar correções manuais. O Copilot Autofix reduz dramaticamente esse problema para que os desenvolvedores possam corrigir vulnerabilidades antigas com mais rapidez e confiança.

Como usar o Copilot Autofix
Para utilizar o Copilot Autofix em vulnerabilidades de código existentes, os desenvolvedores podem simplesmente clicar no botão “Gerar correção” em um alerta de code scanning do GHAS. O programa analisa o código e a vulnerabilidade e informa com uma explicação e sugestão de código para revisão. Em seguida, o desenvolvedor pode clicar no botão “Criar PR com correção” para criar um novo Pull Request que inclui as alterações no código para corrigir o alerta. Com o Copilot Autofix, as equipes podem quitar anos de dívida de segurança, até mesmo aqueles alertas de baixa e moderada gravidade difíceis de priorizar, em apenas alguns cliques.

Considerando que o Brasil está entre os três primeiros países do mundo no aumento de cargos em cibersegurança, com uma demanda não atendida significativa por esses especialistas, o Copilot Autofix traz a expertise necessária na revisão de código, para desenvolvedores que não são necessariamente especialistas em segurança. “Embora a responsabilidade pela segurança do software continue a recair sobre os desenvolvedores, acreditamos que os agentes de IA podem ajudar a aliviar grande parte desse fardo. O profissional com experiência em segurança é escasso, mas com o Copilot Autofix ao seu lado, cada desenvolvedor se beneficia da expertise em segurança sempre que precisar. Segurança se torna simplesmente sinônimo de desenvolvimento de software.” comenta Mike Hanley, CSO e SVP de Engenharia do GitHub.

A partir de setembro, o Copilot Autofix em Pull Requests será oferecido gratuitamente para todos os projetos de código aberto.