GitHub a fait une annonce qui devrait ravir les développeurs. La plateforme DevOps de référence a développé un outil de correction automatique par analyse de code. Il s'agit d'une extension de l'analyse de code basée sur GitHub Copilot qui fournit aux utilisateurs des recommandations ciblées pour les aider à corriger les alertes d'analyse de code dans les demandes d'extraction afin qu'ils puissent éviter d'introduire de nouvelles vulnérabilités de sécurité.
Les correctifs potentiels sont générés automatiquement par de grands modèles de langage (LLM) à l'aide des données de la base de code, de la demande d'extraction et de l'analyse CodeQL. A date, l'analyse automatique du code couvre plus de 90% des types d'alertes en JavaScript, Typescript, Java et Python. Elle fournit également des suggestions de code qui permettent de remédier à plus de deux tiers des vulnérabilités trouvées avec peu ou pas d'édition, indiquent deux membres de l'équipe produit, Pierre Tempel et Eric Tooley.
Une explication en langage naturel de la correction suggérée
Concrètement, lorsqu'une faille est découverte dans une langue prise en charge, les suggestions de correction comprennent une explication en langage naturel de la correction suggérée, ainsi qu'un aperçu de la suggestion de code que le développeur peut accepter, modifier ou rejeter. "Outre les modifications apportées au fichier actuel, ces suggestions de code peuvent inclure des modifications apportées à plusieurs fichiers et aux dépendances qui devraient être ajoutées au projet", peut-on lire.
En coulisses, l'analyse de code Autofix s'appuie sur le moteur CodeQL et sur une combinaison d'API internes de GitHub Copilot et des instances privées de grands modèles de langage OpenAI tels que GPT-4, "qui disposent de capacités génératives suffisantes pour produire à la fois des suggestions de correctifs dans le code et un texte explicatif pour ces correctifs". GitHub prévoit de prendre en charge d'autres langages par la suite, notamment C# et Go. L'outil sera, dans un premier temps, disponible en version bêta publique pour tous les clients de GitHub Advanced Security.
Renforcer ses défenses face à l'explosion du nombre de vulnérabilités
De façon plus générale, ce type d'outil s'avère aujourd'hui nécessaire dans la mesure où les applications se multiplient à une vitesse folle et incluent autant de failles. Avec sa licence GitHub Advanced Security, la plateforme affirme "aider les équipes à remédier aux vulnérabilités 7 fois plus vite que les outils de sécurité traditionnels". Et son outil Autofix par balayage de code dévoilé en avant-première pourrait être le prochain pas en avant.
Début janvier, Statista – connu pour ses statistiques et infographies – a publié un graphique intitulé "Vulnérabilités et risques informatiques courants dans le monde 2009-2024". Il en ressort qu'au cours de la première semaine de l'année 2024, les internautes du monde entier ont découvert pas moins de 612 nouvelles vulnérabilités et expositions communes en matière de sécurité informatique (CVE). Parallèlement, le volume de CVE publiées chaque année a presque doublé, passant de moins de 15 000 en 2017 à plus de 29 000 en 2023.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
