Microsoft и GitHub представили инструмент для устранения уязвимостей с помощью ИИ. Интеграция между Microsoft Defender for Cloud и GitHub Advanced Security объединила аналитику времени выполнения с рабочими процессами разработки. Это позволит решить проблему накопившейся задолженности по безопасности в корпоративных кодовых базах.

Инструмент уже доступен в общедоступной предварительной версии. Он подключает аналитику времени выполнения из производственных сред непосредственно к рабочим процессам разработки. Цель — помочь организациям определить приоритетность уязвимостей и использовать ИИ для их более быстрого устранения.

Вице-президент по управлению продуктами GitHub Марсело Оливейра отметил проблему. Неважно, насколько хорош механизм обнаружения, люди просто не успевали исправлять ошибки достаточно быстро. По сути, это привело к десятилетиям накопления долга по безопасности в корпоративных кодовых базах.

Согласно отраслевым данным, уязвимости критической и высокой степени серьезности составляют 17,4% от общего числа незакрытых задач безопасности. Среднее время их устранения достигает 116 дней. При этом приложения подвергаются атакам примерно каждые три минуты.

Директор по маркетингу продуктов в области облачной безопасности Microsoft Элиф Альгедик подчеркнула важность интеграции. Организации сейчас создают в среднем более 500 новых приложений в год. По мере роста объема кода разрыв между разработкой и безопасностью увеличивается.

Интеграция устраняет разрыв между командами безопасности и разработчиками. Команды безопасности завалены оповещениями и иногда не могут отличить реальные риски от теоретических. У разработчиков нет четких сигналов о приоритетах. Часто они тратят время на исправление проблем, которые могут не использоваться в производственной среде.

Новая интеграция работает в обоих направлениях. Когда Defender for Cloud обнаруживает уязвимость в работающей нагрузке, контекст выполнения переносится в GitHub. Разработчики видят, связана ли уязвимость с интернетом, обрабатываются ли конфиденциальные данные или она действительно раскрыта в рабочей среде.

Например, Defender for Cloud обнаруживает уязвимость в API, доступном через интернет и обрабатывающем конфиденциальные данные. Раньше это оповещение могло висеть на панели управления. Теперь в GitHub можно создать кампанию безопасности, фильтруя риски времени выполнения. Разработчик получает уведомление о необходимости приоритизировать задачу. После этого он может использовать Copilot Autofix для применения предложенного ИИ решения за считанные минуты.

Помимо приоритизации, интеграция использует возможности ИИ GitHub для агентских исправлений. Это позволит создавать кампании безопасности и назначать ИИ-агентам пакетное исправление уязвимостей. Неважно, 10 это уязвимостей или 100, Copilot теперь поможет разобраться со всеми конфликтами и объединить все в один запрос.

По данным GitHub, Copilot Autofix исправляет 50% оповещений в запросах на выдачу. Это сокращает среднее время устранения неполадок на 70%. В ходе кампаний по безопасности было устранено 68% оповещений.