Copilot Autofix: correção automatizada de vulnerabilidades com IA no Azure DevOps

Copilot Autofix: correção automatizada de vulnerabilidades com IA no Azure DevOps

TL;DR: O Copilot Autofix para GitHub Advanced Security for Azure DevOps gera sugestões de correção com IA para vulnerabilidades detectadas pelo CodeQL, eliminando a etapa manual de criação de patches. Disponível em preview privado limitado, a funcionalidade reduz o gap entre detecção e remediação, mas requer monitoramento de custos (créditos de IA). Para empresas brasileiras que ainda não migraram para GitHub, é uma alternativa estratégica para acelerar correções sem sair do Azure Repos.

Nos últimos anos, a Microsoft vem incentivando clientes a migrarem seus repositórios do Azure Repos para o GitHub, onde as experiências de desenvolvimento mais recentes com IA e agentes chegam primeiro. No entanto, migrar não é igualmente simples para todos. Uma mudança para o GitHub pode variar de algo direto a um programa de vários anos, dependendo do porte da organização, customizações, requisitos de compliance, ferramentas e restrições setoriais. Enquanto muitos clientes planejam ou realizam migrações ativamente, outros ainda não estão prontos e continuam dependendo do Azure Repos para o desenvolvimento do dia a dia.

Para os times que ainda constroem no Azure Repos, há uma novidade: o Copilot Autofix está disponível hoje em limited private preview para o GitHub Advanced Security for Azure DevOps. Para solicitar inscrição, é necessário preencher o formulário no link oficial. A habilitação ocorre em ondas e pode levar algumas semanas até que a funcionalidade esteja disponível para sua organização. A Microsoft notificará cada cliente por e-mail quando o recurso for ativado.

Esse rollout gradual permite monitorar o uso de perto, coletar feedback e validar a experiência antes de disponibilizar o recurso de forma mais ampla.

Por que Autofix?

O Advanced Security sempre foi bom em encontrar vulnerabilidades. O CodeQL escaneia seu código, sinaliza uma SQL injection ou um path traversal e entrega um alerta. Até agora, corrigir era a parte deixada para você: pesquisar a vulnerabilidade, elaborar uma alteração segura, escrever o patch e abrir um pull request. Para a maioria dos times, é aí que os alerts se acumulam.

O Autofix fecha essa lacuna. Ele usa o mesmo mecanismo CodeQL que encontra a vulnerabilidade para gerar uma correção sugerida por IA diretamente na experiência de alerta do Azure DevOps. Você revisa a mudança sugerida, edita se necessário e a commit em um pull request sem sair do alerta.

Da varredura à remediação, na mesma superfície

Quando você abre um alerta CodeQL na aba Advanced Security do seu repositório, verá um novo botão Generate fix em alerts de regras suportadas.

O Autofix coleta o código ao redor e o contexto do alerta para retornar uma mudança sugerida automaticamente como um pull request.

Seus gates normais de review e build são executados no pull request. Quando ele é mergeado e a próxima varredura CodeQL é concluída, o alerta é resolvido automaticamente.

Isso funciona bem em conjunto com o CodeQL default setup. O default setup ativa a varredura sem nenhuma configuração de pipeline, e o Autofix então transforma os alerts resultantes em pull requests sem reescrita manual. Juntos, eles encurtam o caminho de "temos uma vulnerabilidade" para "temos uma correção em review". Um desenvolvedor pode fazer isso em poucos minutos.

O que está no preview

O Copilot Autofix em limited private preview cobre:

• Todas as linguagens suportadas pelo CodeQL: C/C++, C#, Go, Java, Kotlin, JavaScript, TypeScript, Python, Ruby e Swift.
• Um conjunto curado de consultas CodeQL — o mesmo conjunto que o GitHub usa no GitHub.com, cobrindo as classes de vulnerabilidade de maior frequência: SQL injection, cross-site scripting, path traversal, hardcoded credentials e outras.
• Alerts de backlog na aba Advanced Security para o branch default.

Ele está incluído na sua licença do GitHub Advanced Security for Azure DevOps. A geração de correções consome AI credits do meter de faturamento Azure da sua organização.

Faturamento

Cada geração de correção consome tokens. Isso inclui tokens de entrada (input) para o contexto de código enviado ao modelo, tokens de saída (output) para a mudança sugerida e tokens em cache que reutilizam contexto existente.

Para simplificar o faturamento, esses tokens são convertidos em uma unidade padrão chamada GitHub AI credit, onde 1 crédito equivale a $0,01 USD. A cobrança é feita na assinatura Azure vinculada à sua organização do Azure DevOps e aparece como um medidor separado no Azure Cost Management.

O custo de cada correção varia com o tamanho do contexto de código ao redor e a complexidade da mudança. Portanto, antes de liberar o Autofix amplamente, habilite-o em um ou dois repositórios primeiro e monitore o uso diário.

Para acompanhar os custos diários, vá em Subscription > Cost Management > Cost analysis no portal Azure.

Primeiros passos

O Copilot Autofix está em limited private preview. Para solicitar inscrição, acesse o link oficial. A Microsoft irá integrar clientes em ondas nas próximas semanas.

Assim que sua organização for habilitada:

1. Certifique-se de que o Code Security e o CodeQL code scanning estejam configurados no repositório — seja com default setup ou adicionando tarefas CodeQL ao pipeline.
2. Habilite o recurso no nível do repositório.
3. Selecione um alerta CodeQL no Advanced Security.
4. Escolha Generate fix em qualquer alerta de uma regra suportada.
5. Revise a sugestão, refine se necessário e faça merge do pull request.

Instruções completas de configuração e uso estão na nova documentação Fix code scanning alerts with Copilot Autofix (Preview).

O que vem a seguir

A Microsoft está trabalhando para levar o Autofix a todos os alerts CodeQL para todos os branches e, em seguida, habilitar o Autofix para todos os alerts de code scanning.

Se você quiser influenciar o roadmap, inscreva-se no preview e conte o que está funcionando e o que não está. A ideia é fechar a lacuna na remediação, e a Microsoft quer construir o restante com você.

Perguntas Frequentes

• O Copilot Autofix substitui a necessidade de revisão humana?
  Não. O Autofix gera uma sugestão de correção, mas o desenvolvedor deve revisar, editar se necessário e submeter o pull request. As verificações normais de build e review ainda são aplicadas. A ferramenta acelera a criação do patch, não a validação.

• Quais linguagens são suportadas no preview?
  O preview cobre todas as linguagens suportadas pelo CodeQL: C/C++, C#, Go, Java, Kotlin, JavaScript, TypeScript, Python, Ruby e Swift. Também inclui um conjunto curado de consultas CodeQL focado nas classes de vulnerabilidade mais frequentes, como SQL injection, cross-site scripting e path traversal.

• Como funciona a cobrança pelo uso do Autofix?
  Cada geração de correção consome tokens de entrada, saída e cache, convertidos em créditos de IA do GitHub (1 crédito = $0,01 USD). A cobrança é feita na assinatura Azure vinculada ao Azure DevOps. A Microsoft recomenda habilitar em poucos repositórios primeiro para monitorar os custos diários no Azure Cost Management.

• Preciso migrar para o GitHub para usar o Autofix?
  Não. O Autofix está disponível para GitHub Advanced Security for Azure DevOps, ou seja, para times que ainda usam Azure Repos. A Microsoft incentiva a migração para GitHub, mas reconhece que nem todos podem fazê-lo rapidamente. Essa funcionalidade é uma alternativa para quem permanece no Azure DevOps.

---

Artigo originalmente publicado por Laura Jiang em Azure DevOps Blog.