Выбирай : Покупай : Используй
0

Microsoft оставит безопасников без работы и денег. Создан инструмент для автоматического удаления уязвимостей из кода программ

Microsoft создала для GitHub инструмент Copilot Autofix на базе искусственного интеллекта для устранения уязвимостей в программном коде. Виртуальный помощник программиста выявит слабые места в коде, которые потенциально могут стать причиной возникновения «дыр» во всем проекте, и предложит, как от них избавиться. В теории, это может сделать труд ИБ-специалистов менее востребованным, а работу хакеров – более сложной.

ИИ на страже безопасности

Сервис GitHub, с 2018 г. принадлежащий корпорации Microsoft, внедрил новый инструмент Copilot Autofix на основе искусственного интеллекта. Как пишет портал TechSpot, он предназначен для поиска и устранения уязвимостей в программном коде.

Проблема «дыр» в современном ПО с каждым днем становится все более масштабной – нахождение критических уязвимостей в популярном программном обеспечении стало обычным делом, уже никого особо не пугающим ввиду своей массовости. Между тем, каждая такая брешь, пусть даже и не критичная – это потенциальная проблема безопасности не только для обычного пользователя, но и для бизнеса всех размеров – от крошечных стартапов до гигантских международных корпораций.

Сделать софт более безопасным и призван новый инструмент Copilot Autofix. Он анализирует код на предмет потенциальных «дыр», после чего предлагает программисту варианты их устранения. Разработчик вправе как прислушаться к совету виртуального ассистента, так и отклонить предлагаемые им изменения, а также принять их частично, внеся в них свои правки. В теории, Copilot Autofix может сделать специалистов по информационной безопасности менее востребованными, а также усложнить работу хакерам – те, кто уже опробовал этот инструмент на практике, заявили, что он минимум втрое ускоряет процесс поиска и устранения «дыр» в программном коде.

Очень умный помощник

По данным TechSpot, новая разработка Microsoft способна выявлять очень широкий спектр уязвимостей. В числе прочего, Copilot Autofix умеет «видеть» в программном коде уязвимости SQL-инъекции и межсайтовому скриптингу (XSS).

Проникать в инфраструктуру предприятия через "дыры" в ПО хакерам станет намного сложнее

При этом «скормить» Copilot Autofix можно не только свеженаписанный код. Инструмент можно «натравить» и на ранее созданные программы – он проанализирует их исходники и в случае выявления проблем с безопасностью даст необходимые рекомендации. Своевременное устранение этих уязвимостей может значительно снизить риск дорогостоящих нарушений безопасности, пишет TechSpot.

Потенциально полезное нововведение

До официального анонса Copilot Autofix Microsoft провела его публичное бета-тестирование, в ходе которого было зафиксировано несколько аспектов, касающихся использования этого инструмента. В частности, выяснилось, что с его помощью время, затрачиваемое разработчиками на поиск и устранение уязвимостей, сократилось втрое по сравнению с тем, когда они делали это, полагаясь только на собственные знания и опыт.

В некоторых случаях экономия времени была еще более впечатляющей, пишет TechSpot. Например, в ручном режиме на исправление ошибок XSS обычно уходит в среднем три часа, а при помощи Copilot Autofix от них получалось избавиться в среднем за 22 минуты. Время исправления дефектов SQL-инъекции сократилось с 3,7 часа до в среднем 18 минут.

Пока бесплатно

В основе нового инструмента Microsoft лежит сочетание эвристики, искусственного интеллекта GitHub Copilot, аналитического движка CodeQL и нейросети GPT-4 для генерации интеллектуальных предложений по исправлению ошибок. Начиная с сентября 2024 г., Copilot Autofix будет доступен бесплатно для всех проектов с открытым исходным кодом, размещенных на платформе GitHub, уточняет TechSpot.

Что касается виртуального помощника Copilot, с которым инструмент Autofix тесно связан, то он существует в составе GitHub с лета 2021 г. Он ассистирует при написании кода, предлагая различные варианты, если программист сам не в силах решить поставленную перед ним задачу.

Copilot – это довольно мощный инструмент, за три года своего существования сумевший спрогрессировать в значительной степени. Однако уникальность предлагаемого им программного кода вызывает вопросы – осенью 2022 г. стало известно, что он ворует код из открытых репозиториев на GitHub.

Комментарии