GitHub hà annunziatu l'aghjunzione di un sistema sperimentale di machine learning à u so serviziu di scanning di codice per identificà tipi cumuni di vulnerabilità in codice. In u stadiu di prova, a nova funziunalità hè attualmente dispunibule solu per i repositori cù codice in JavaScript è TypeScript. Hè nutatu chì l'usu di un sistema di machine learning hà permessu di espansione significativamente a gamma di prublemi identificati, quandu analizà quale u sistema ùn hè più limitatu à cuntrollà mudelli standard è ùn hè micca ligatu à frameworks ben cunnisciuti. Trà i prublemi identificati da u novu sistema, l'errori sò citati chì portanu à scripting cross-site (XSS), distorsioni di i percorsi di u schedariu (per esempiu, attraversu l'indicazione di "/.."), sustituzzioni di e dumande SQL è NoSQL.
U serviziu di scanning di u codice permette di identificà e vulnerabilità in una prima fase di sviluppu scannendu ogni operazione "git push" per i prublemi potenziali. U risultatu hè attaccatu direttamente à a dumanda di pull. Prima, a verificazione hè stata realizata cù u mutore CodeQL, chì analizà mudelli cù esempi tipici di codice vulnerabile (CodeQL permette di creà un mudellu di codice vulnerabile per identificà a presenza di una vulnerabilità simili in u codice di altri prughjetti). U novu mutore, chì usa l'apprendimentu machine, pò identificà vulnerabili scunnisciute prima perchè ùn hè micca ligatu à enumerazione di mudelli di codice chì descrizanu vulnerabili specifiche. U costu di sta funzione hè un aumentu di u numeru di falsi pusitivi cumparatu cù cuntrolli basati in CodeQL.
Source: opennet.ru