GitHub Copilot 安全吗? 如何加固你的 GitHub Copilot 应用
GitHub Copilot 能加速编码——也同样容易把一段不安全的模式自动补全进你的代码库。
简短回答
GitHub Copilot 用起来安全、应用广泛,但多项研究一再表明,其相当比例的建议含有安全弱点。它会自动补全各种模式,包括不安全的模式,因此请复核其输出,并搭配安全扫描使用。
GitHub Copilot 用起来安全,是采用最广的 AI 编码助手,用户超过 2000 万。安全注意点也很明确:由于 Copilot 会补全统计上最可能的模式,它同样容易补全一段不安全的模式——硬编码凭据、薄弱加密、缺失校验。多项研究发现,Copilot 相当一部分建议含有安全弱点。尽可放心使用,但请复核涉及安全的补全,并搭配自动扫描,避免不安全模式悄悄进入你的代码库。
GitHub Copilot 安全速览
- 平台类型
- AI 结对编程/代码补全(GitHub)
- 最常见风险
- 不安全的代码模式被自动补全进来
- 也要留意
- 硬编码密钥与薄弱加密建议
- 如何检查
- 代码复核加自动安全扫描
- 可以上线吗?
- 可以——在复核生成代码之后
GitHub Copilot 最常见的安全风险
不安全建议被补全进来
Copilot 会补全最可能的模式,有时正是不安全的那一个。独立研究发现相当比例的建议带有安全弱点。
硬编码密钥
它可能内联建议占位或看似真实的凭据。请把密钥放进环境变量,并扫描被提交的密钥。
正确性的错觉
流畅自信的输出容易让人放松审查。涉及安全的代码仍需人工复核与测试。
如何加固你的 GitHub Copilot 应用
GitHub Copilot 安全常见问题
- GitHub Copilot 用起来安全吗?
- 安全且广泛使用。注意点在于其相当比例的建议可能含有安全弱点,因此请复核涉及安全的输出,并搭配自动扫描使用。
- Copilot 会引入安全漏洞吗?
- 可能会。由于它补全常见模式,有时会补全不安全的模式。通过代码复核、密钥扫描和测试,这种风险是可控的。