L’outil de GitHub Copilot Autofix est censé trouver les failles de sécurité dans les applications mises au point par les développeurs, mais aussi de faire des propositions pour corriger ces failles. « Trouver les vulnérabilités n’est pas le problème. Les corriger en constitue un », resume Mike Hanley, CSO and senior vice president of engineering chez GitHub,Copilot. Autofix s’appuie notamment sur l’analyse de code CodeQL et GPT-4o, la technologie d’IA générative d’OpenAI. Parmi les atouts de GPT-4o, des interactions en temps réel, la gestion des longues conversations sur un problème de sécurité et un prix de 50% inférieur à la version précédente, GPT-4 Turbo.
Selon GitHub, la résolution d’une faille détectée par CodeQL est passée de 90 mn en mode manuel auparavant à 28 mn avec Copilot Autofix. Les failles de type CSS (Cross-site scripting) sont corrigées en une vingtaine de minutes, comparées à plusieurs heures en manuel. Idem pour les injections SQL, où le temps de résolution est passé de 4 heures à moins de 20 mn.
Reste que la course à la vitesse dans la programmation peut être dangereuse. Les développeurs ont de plus en plus de responsabilités. D’où l’intérêt d’une solution telle Autofix.