Встроить проверку безопасности прямо в рабочий процесс — мечта любого разработчика. Теперь Microsoft предлагает такую возможность с новой командой /security-review в GitHub Copilot, которая сканирует изменения в коде на уязвимости. Однако, как показывают независимые исследования, эта функция пока не гарантирует защиту от всех критических угроз.
Microsoft выпустила новую команду /security-review для GitHub Copilot в публичной предварительной версии. Она позволяет сканировать текущие изменения в коде на уязвимости непосредственно в приложении. Инструмент выдаёт высокоточные данные о безопасности, отсортированные по серьёзности и достоверности, а также предлагает действенные рекомендации, которые можно применить и перепроверить, не покидая Copilot.
Команда нацелена на выявление распространённых и значимых классов уязвимостей, таких как:
- Ошибки инъекций (SQL injection, command injection)
- Межсайтовый скриптинг (XSS)
- Небезопасная обработка данных
- Обход каталогов
- Слабая криптография
Однако независимые исследования показывают, что эффективность функции ограничена. Согласно отчёту Торонтского столичного университета, /security-review часто не обнаруживает критические уязвимости, например, SQL-инъекции, XSS и небезопасную десериализацию. Вместо этого инструмент чаще фокусируется на низкоприоритетных проблемах, таких как стиль кодирования и опечатки. Исследователи подчёркивают, что это указывает на разрыв между заявленными возможностями ИИ-помощников и их реальной эффективностью в обеспечении безопасности.
Команда /security-review доступна всем пользователям Copilot: Free, Pro, Business и Enterprise. GitHub заявляет, что код пользователей не используется для обучения моделей Copilot, что должно снизить опасения по поводу конфиденциальности и интеллектуальной собственности.
Функция /security-review добавляет удобный, первый слой защиты прямо в процесс разработки. Она может помочь выявить простые ошибки, но инженеры по-прежнему должны полагаться на специализированные инструменты статического анализа и ручной аудит для обнаружения и устранения сложных и критических уязвимостей.