GitHub анонсировал улучшения в своем инструменте по обнаружению уязвимостей, используя AI для анализа кодовой базы. Применяя новый фреймворк с аудиторскими потоками, специалисты смогли выявить более 80 уязвимостей в открытых проектах за последние месяцы.
Почему это важно
Безопасность кода остаётся критически важной для разработчиков, особенно в условиях растущих угроз. Высокая скорость и точность нового фреймворка позволяют исследователям сосредоточиться на подтверждении результатов, а не на потенциально уязвимых элементах, которые не представляют угрозы. Многие из найденных проблем связаны с обходом авторизации и утечкой личной информации — рисками, которые нельзя игнорировать.
Что нового в AI-фреймворке от GitHub
Специалисты GitHub адаптировали фреймворк для быстрого и эффективного поиска уязвимостей в веб-приложениях, практически не тратя время на ложные срабатывания. За это время было раскрыто около 20 из 80 найденных уязвимостей, включая доступ к личной информации пользователей и возможность входа с любым паролем в приложения для чата.
Для самостоятельного использования разработана открытая версия фреймворка. Чтобы начать, пользователи должны иметь лицензию GitHub Copilot и выполнить определённые настройки. Теперь команды могут самостоятельно проводить аудит своих проектов и обеспечивать безопасность кода.
Что это значит для разработчиков
Для российских разработчиков внедрение такого инструмента — это возможность снизить риски в проектах. Организации, использующие открытые репозитории, могут интегрировать собственные инструменты для аудита кода, что поможет минимизировать уязвимости и повысить общий уровень безопасности. Постоянное обновление рабочих потоков и взаимодействие с сообществом позволяют передавать знания о найденных уязвимостях.
Следующий шаг — активное использование фреймворка в российских компаниях, что позволит быстрее выявлять и устранять уязвимости, повышая уровень безопасности программного обеспечения.
