أعلنت GitHub عن إضافة نظام تجريبي للتعلم الآلي إلى خدمة مسح التعليمات البرمجية الخاصة بها لتحديد أنواع الثغرات الشائعة في التعليمات البرمجية. في مرحلة الاختبار، الوظيفة الجديدة متاحة حاليًا فقط للمستودعات التي تحتوي على تعليمات برمجية بلغة JavaScript وTypeScript. تجدر الإشارة إلى أن استخدام نظام التعلم الآلي جعل من الممكن توسيع نطاق المشكلات المحددة بشكل كبير، عند تحليل النظام لم يعد يقتصر على التحقق من القوالب القياسية ولا يرتبط بأطر عمل معروفة. ومن بين المشاكل التي حددها النظام الجديد، تم ذكر الأخطاء التي تؤدي إلى البرمجة النصية عبر المواقع (XSS)، وتشويه مسارات الملفات (على سبيل المثال، من خلال الإشارة إلى "/.")، واستبدال استعلامات SQL وNoSQL.
تتيح لك خدمة فحص التعليمات البرمجية تحديد نقاط الضعف في مرحلة مبكرة من التطوير عن طريق فحص كل عملية "git Push" بحثًا عن المشكلات المحتملة. يتم إرفاق النتيجة مباشرة بطلب السحب. في السابق، تم إجراء الفحص باستخدام محرك CodeQL، الذي يقوم بتحليل القوالب بأمثلة نموذجية للتعليمات البرمجية الضعيفة (يسمح لك CodeQL بإنشاء قالب تعليمات برمجية ضعيف لتحديد وجود ثغرة أمنية مماثلة في كود المشاريع الأخرى). ويمكن للمحرك الجديد، الذي يستخدم التعلم الآلي، تحديد نقاط الضعف غير المعروفة سابقًا لأنه غير مرتبط بتعداد قوالب التعليمات البرمجية التي تصف نقاط ضعف محددة. تكلفة هذه الميزة هي زيادة في عدد النتائج الإيجابية الخاطئة مقارنة بعمليات التحقق المستندة إلى CodeQL.
المصدر: opennet.ru