GitHub het die byvoeging van 'n eksperimentele masjienleerstelsel tot sy kodeskanderingsdiens aangekondig om algemene tipes kwesbaarhede in kode te identifiseer. Op die toetsstadium is die nuwe funksionaliteit tans slegs beskikbaar vir bewaarplekke met kode in JavaScript en TypeScript. Daar word kennis geneem dat die gebruik van 'n masjienleerstelsel dit moontlik gemaak het om die reeks geïdentifiseerde probleme aansienlik uit te brei, wanneer die stelsel nie meer beperk is tot die kontrolering van standaardsjablone nie en nie aan bekende raamwerke gekoppel is nie. Onder die probleme wat deur die nuwe stelsel geïdentifiseer is, word foute genoem wat lei tot kruis-werf scripting (XSS), verdraaiing van lêerpaaie (byvoorbeeld deur die aanduiding van “/..”), vervanging van SQL- en NoSQL-navrae.
Die Kode-skanderingsdiens laat jou toe om kwesbaarhede op 'n vroeë stadium van ontwikkeling te identifiseer deur elke "git push"-operasie vir potensiële probleme te skandeer. Die resultaat word direk by die trekversoek aangeheg. Voorheen is die kontrole uitgevoer met behulp van die CodeQL-enjin, wat sjablone ontleed met tipiese voorbeelde van kwesbare kode (CodeQL laat jou toe om 'n kwesbare kodesjabloon te skep om die teenwoordigheid van 'n soortgelyke kwesbaarheid in die kode van ander projekte te identifiseer). Die nuwe enjin, wat masjienleer gebruik, kan voorheen onbekende kwesbaarhede identifiseer omdat dit nie gekoppel is aan die opsomming van kodesjablone wat spesifieke kwesbaarhede beskryf nie. Die koste van hierdie kenmerk is 'n toename in die aantal vals positiewe in vergelyking met CodeQL-gebaseerde tjeks.
Bron: opennet.ru