周四下午,一个使用Azure Repos的开发团队照例收到了CodeQL扫描报告——一个新注入漏洞被标记了出来。但与以往不同的是,团队负责人没有分配人去啃告警、查文档、手写补丁,而是在GitHub Advanced Security界面里按下了“生成修复”。数秒之后,一个跨越三个文件的代码修改建议,已经以Pull Request的形式静悄悄地躺在了他们的审查队列里。这是微软刚刚推出的Copilot Autofix for Azure DevOps的日常一幕,它正试图把应用安全的“最后一公里”从人工拉锯变成一键确认。
微软正式宣布,面向Azure DevOps的GitHub Advanced Security Copilot Autofix功能进入有限公开预览。这项能力把此前只在GitHub代码库上可用的AI驱动漏洞修复,延伸到了那些已经标准使用Azure DevOps的企业团队。它的核心思路很简单:不再只告诉开发者“你这里有漏洞”,而是直接给出一个上下文感知的修复方案,让开发者从耗时的手工解读和修复中抽身,把精力保留在审查决策上。
![]()
Copilot Autofix的工作流建立在两个成熟组件的组合之上:CodeQL的深层语义分析引擎和GitHub Copilot的代码生成代理。当CodeQL在Azure Repos中扫描出受支持的告警类型时,开发者便能在Advanced Security界面中触发AI修复。这个代理并不会孤立地修改告警行,它会连同周围的应用上下文一起分析,理解变量流转、函数调用序和数据流向,然后再生成一组代码改动,并自动开启一个Pull Request。在某些情况下,修复可能同时涉及多个文件的协调变动,以从根源上解决漏洞链路,而不只是抹掉表面警告。
微软把这种能力定位为对多年来SAST工具普遍缺陷的回应。静态应用安全测试工具在发现潜在漏洞上已经相当成熟,但问题在于,找到问题后的“理解告警—研究缓解方案—手写修复”这一整条长尾,恰恰成为了安全交付流程最大的瓶颈之一。开发人员经常不得不花费大量时间在安全告警的解读上,而Copilot Autofix的出现,就试图用大语言模型把这一长尾直接压缩成可审查的代码变更建议。
尽管修复动作由AI代劳,但微软在公告中反复强调,开发者仍然是每个修复建议的最终责任人和验证者。Copilot Autofix生成的补丁基于大语言模型,不保证在功能上完全无误,也不保证没有引入意料之外的副作用。因此,所有由AI自动生成的Pull Request,都会原封不动地走完Azure DevOps中既有的代码审查、自动化测试和审批流水线。也就是说,AI只是把“写补丁”这个最重复的动作提前做了,而“验补丁”这个需要人类判断力的环节,依然被牢牢留在了流程里。
这也折射出当前AI辅助软件工程一个更加广泛的共识:与其让自主代理直接改动生产环境,企业级平台更倾向于将AI定位为加速重复工程任务的智能助手,同时完整保留既有的治理、合规与质量保障框架。对于已建立严格变更管理流程的组织来说,这无疑是一种更易落地的中间路线——开发者不必改变已经打磨成熟的协作模式,就能让AI帮忙把修漏洞的侧移从数天缩至几分钟。
微软此次发布也被外界视为其将AI深度嵌入开发者工具链的持续努力的一部分。从GitHub Copilot的代码补全,到目前的Copilot Autofix漏洞修复,AI在软件开发中的角色正从辅助写作逐渐走向主动护卫,尤其值得关注的是,这个转变被引导到了对安全交付存在刚需的企业DevOps环境中。对于已经将代码和流程托管在Azure DevOps上,同时又希望将漏洞修复周期尽量压缩的团队来说,这项公测意味着他们可以在不迁移代码库的前提下,试水AI自动化修复的实战能力。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.