GitHub በኮድ ውስጥ ያሉ የተለመዱ የተጋላጭነት ዓይነቶችን ለመለየት የሙከራ ማሽን መማሪያ ስርዓት በኮድ ስካን አገልግሎቱ ላይ መጨመሩን አስታውቋል። በሙከራ ደረጃ፣ አዲሱ ተግባር በአሁኑ ጊዜ በጃቫ ስክሪፕት እና ታይፕ ስክሪፕት ውስጥ ኮድ ላላቸው ማከማቻዎች ብቻ ይገኛል። የማሽን መማሪያ ስርዓትን በመጠቀም የተለዩትን ችግሮች በስፋት ለማስፋት መቻሉን ሲተነተን፣ መደበኛ አብነቶችን በመፈተሽ ብቻ የተገደበ እና ከታወቁ ማዕቀፎች ጋር ያልተቆራኘ ነው። በአዲሱ አሰራር ከተለዩት ችግሮች መካከል ወደ ስክሪፕት ስክሪፕት (ኤክስኤስኤስ)፣ የፋይል ዱካዎችን ማዛባት (ለምሳሌ በ"/..." ምልክት)፣ የSQL እና NoSQL መጠይቆችን የሚቀይሩ ስህተቶች ተጠቅሰዋል።
የኮድ ስካን አገልግሎት እያንዳንዱን የ"git push" አሰራር ሊፈጠሩ የሚችሉ ችግሮችን በመቃኘት በመጀመርያ የእድገት ደረጃ ላይ ያሉ ችግሮችን ለመለየት ያስችላል። ውጤቱ በቀጥታ ከመጎተት ጥያቄ ጋር ተያይዟል. ከዚህ ቀደም ቼኩ የተካሄደው የ CodeQL ሞተርን በመጠቀም ነው, ይህም የተጋላጭ ኮድ ምሳሌዎችን አብነቶችን ይተነትናል (CodeQL በሌሎች የፕሮጀክቶች ኮድ ውስጥ ተመሳሳይ ተጋላጭነት መኖሩን ለመለየት የተጋላጭ ኮድ አብነት ለመፍጠር ያስችልዎታል). የማሽን መማሪያን የሚጠቀመው አዲሱ ሞተር ከዚህ ቀደም የማይታወቁ ተጋላጭነቶችን መለየት ይችላል ምክንያቱም የተወሰኑ ተጋላጭነቶችን የሚገልጹ የኮድ አብነቶችን ከመዘርዘር ጋር አልተገናኘም። የዚህ ባህሪ ዋጋ በ CodeQL ላይ ከተመሰረቱ ቼኮች ጋር ሲነፃፀር የውሸት አወንታዊ ቁጥር መጨመር ነው።
ምንጭ: opennet.ru