The GitHub Blog
·
利用人工智能修复安全漏洞
内容提要
GitHub推出了代码扫描自动修复功能,利用人工智能为用户的代码库中的安全漏洞提供修复建议。自动修复通过AI生成的修复建议进一步加强了安全性。目前,它仅支持JavaScript和TypeScript中的CodeQL警报。自动修复提示通过提取警报中的信息构建,包括漏洞的一般示例和修复方法、代码位置和相关代码片段。该系统还包括预处理和后处理步骤,用于选择要显示给模型的代码、添加依赖项、指定代码编辑格式以及解决模型错误。该系统经过评估和迭代,以改进修复建议,并通过在代码扫描警报旁边显示建议修复来增强用户体验。后端基于现有的代码扫描基础设施构建,系统遵循安全和隐私程序。使用遥测和监控来衡量性能和影响,并收集用户反馈以改进系统。
关键要点
-
GitHub推出代码扫描自动修复功能,利用人工智能为用户代码库中的安全漏洞提供修复建议。
-
自动修复功能目前仅支持JavaScript和TypeScript中的CodeQL警报。
-
自动修复通过提取警报信息构建,包括漏洞示例、修复方法、代码位置和相关代码片段。
-
系统包括预处理和后处理步骤,以选择显示给模型的代码和解决模型错误。
-
后端基于现有代码扫描基础设施构建,遵循安全和隐私程序。
-
使用遥测和监控来衡量性能和影响,并收集用户反馈以改进系统。
-
代码扫描分析代码以发现安全漏洞,扫描可以按计划或在特定事件触发。
-
自动修复通过AI生成的修复建议增强安全性,用户可以直接在拉取请求页面查看建议修复。
-
构建LLM提示时提取警报信息,包括漏洞类型、代码位置和相关代码片段。
-
在处理模型响应时,使用严格的格式要求以便于自动处理。
-
通过选择代码上下文和添加依赖项来支持复杂的现实场景。
-
评估和迭代通过自动化测试框架进行,以提高修复建议的质量。
-
用户体验通过在代码扫描拉取请求中显示建议修复来增强。
-
后端服务与现有代码扫描基础设施无缝集成,用户无需更改工作流程。
-
在推出之前,确保监控性能并测量影响,收集匿名的用户交互数据。
-
正在扩展自动修复功能以支持更多语言和用例,并改善用户体验。
