GitHub apresenta teste de segurança por Inteligência Artificial
33giga
Os desdobramentos da Inteligência Artificial têm gerado mudanças significativas no trabalho das pessoas. Para o desenvolvimento de software e segurança do código não é diferente.
Aplicando a tecnologia, o GitHub Advanced Security, que já lançou mais de 70 mecanismos para melhoria nos testes de segurança de aplicativos e na cadeia de suprimentos de software, anuncia a prévia de três novas funcionalidades impulsionadas por IA, incluindo melhorias na visão geral de segurança.
Entre as novidades, a correção automática de escaneamento de código promete ganhos na produtividade e um código mais seguro.
Utilizando a tecnologia do mecanismo de análise estática CodeQL do GitHub, a solução foi projetada para ajudar as pessoas desenvolvedoras a corrigirem issues rapidamente, enviando correções geradas por IA para alertas de CodeQL, JavaScript e TypeScript diretamente em pull requests.
Após a análise do CodeQL, o GitHub consulta um LLM (Grande Modelo de Linguagem em tradução livre) avançado para correções de quaisquer novos alertas.
Essas sugestões de correção geradas por IA são enviadas como sugestões de código nas guias "Conversation" (Conversa) e "Files Changed" (Arquivos alterados) do pull request, sendo possível visualizar e aceitar as alterações recomendadas e até mesmo editar as correções antes de fazer merge à base de código.
Outra melhoria é a detecção de senhas vazadas com o escaneamento de credenciais. Por não terem um padrão específico, senhas são dificilmente identificadas pelo escaneamento de credenciais, porém, a última geração de LLMs, impulsionada por IA, viabiliza encontrar senhas com menos falsos positivos do que os métodos tradicionais.
Assim, o material detectado é exibido em uma guia separada, na qual gerentes de segurança e os proprietários de repositórios podem visualizar os alertas sobre uma senha vazada e possivelmente ativa. Atualmente, o escaneamento de credenciais está disponível somente na versão beta pública limitada.
O último novo recurso é o gerador de expressões regulares para padrões personalizados. Escrever expressões regulares pode ser complexo devido aos muitos parâmetros e nuances envolvidos.
Para atender essa dor, o GitHub agora inclui uma experiência baseada em IA para a criação de padrões personalizados. Por meio de um formulário, basta responder algumas perguntas simples para gerar automaticamente padrões personalizados na forma de expressões regulares.
Esse novo recurso permite que aqueles que trabalham com desenvolvimento executem testes em tempo real para garantir o escaneamento adequado antes de salvar o padrão recém-criado.
Atualização do painel de visão geral de segurança
Além das novas funcionalidades, melhorias no novo painel da visão geral de segurança permitem que gerentes e administradores de segurança tenham acesso a análise de tendências históricas para alertas de segurança no GitHub, auxiliando no entendimento da postura de segurança de cada organização por meio das lentes de risco, remediação e prevenção:
- Risco. Demonstra as descobertas de segurança em seus repositórios, bem como onde há aumentos ou reduções nas descobertas e as suas categorias.
- Remediação. Auxilia no entendimento da eficácia das práticas de correção. Por exemplo, quantas constatações de segurança foram fechadas e o tempo médio geral de correção de sua organização.
- Prevenção. Oferece uma visão clara de onde os issues de segurança são evitados por meio de recursos como o push protection.
As novidades ajudarão pessoas desenvolvedoras e equipes de segurança a colaborar de forma mais eficaz para encontrar e corrigir issues de segurança onde já trabalham, tudo dentro do GitHub.
“Essas atualizações não apenas economizam um tempo incrível de trabalho, mas também ajudam a obter a cobertura necessária para garantir a segurança de credenciais. Com a IA, temos o potencial de revolucionar a criação de aplicativos seguros desde o início e transformar a definição tradicional de testes ‘Shift-left’”, afirma Asha Chakrabarty, Vice-Presidente de Gerenciamento de Produtos do GitHub.