GitHub je najavio dodavanje eksperimentalnog sistema mašinskog učenja svojoj usluzi skeniranja koda kako bi se identifikovale uobičajene vrste ranjivosti u kodu. U fazi testiranja, nova funkcionalnost je trenutno dostupna samo za spremišta sa kodom u JavaScript-u i TypeScript-u. Napominje se da je korištenje sistema mašinskog učenja omogućilo značajno proširenje spektra identifikovanih problema, pri analizi kojih sistem više nije ograničen na provjeru standardnih šablona i nije vezan za dobro poznate okvire. Među problemima koje je identifikovao novi sistem, pominju se greške koje dovode do cross-site skriptovanja (XSS), izobličenja putanja fajlova (na primer, kroz indikaciju “/..”), zamene SQL i NoSQL upita.
Usluga skeniranja koda omogućava vam da identifikujete ranjivosti u ranoj fazi razvoja skeniranjem svake „git push“ operacije u potrazi za potencijalnim problemima. Rezultat je priložen direktno zahtjevu za povlačenje. Ranije je provjera obavljena pomoću CodeQL motora, koji analizira šablone s tipičnim primjerima ranjivog koda (CodeQL vam omogućava da kreirate ranjivi predložak koda kako biste identificirali prisutnost slične ranjivosti u kodu drugih projekata). Novi mehanizam, koji koristi mašinsko učenje, može identificirati ranije nepoznate ranjivosti jer nije vezan za nabrajanje predložaka koda koji opisuju specifične ranjivosti. Cena ove funkcije je povećanje broja lažnih pozitivnih rezultata u poređenju sa proverama zasnovanim na CodeQL-u.
izvor: opennet.ru