GitHub annoncerede tilføjelsen af et eksperimentelt maskinlæringssystem til sin kodescanningstjeneste for at identificere almindelige typer sårbarheder i kode. På teststadiet er den nye funktionalitet i øjeblikket kun tilgængelig for repositories med kode i JavaScript og TypeScript. Det bemærkes, at brugen af et maskinlæringssystem har gjort det muligt væsentligt at udvide rækken af identificerede problemer, når man analyserer, hvor systemet ikke længere er begrænset til at kontrollere standardskabeloner og ikke er bundet til velkendte rammer. Blandt de problemer, som det nye system identificerer, nævnes fejl, der fører til cross-site scripting (XSS), forvrængning af filstier (for eksempel gennem indikationen af "/.."), substitution af SQL- og NoSQL-forespørgsler.
Kodescanningstjenesten giver dig mulighed for at identificere sårbarheder på et tidligt udviklingsstadium ved at scanne hver "git push"-operation for potentielle problemer. Resultatet vedhæftes direkte til pull-anmodningen. Tidligere blev kontrollen udført ved hjælp af CodeQL-motoren, som analyserer skabeloner med typiske eksempler på sårbar kode (CodeQL giver dig mulighed for at oprette en sårbar kodeskabelon for at identificere tilstedeværelsen af en lignende sårbarhed i andre projekters kode). Den nye motor, som bruger maskinlæring, kan identificere hidtil ukendte sårbarheder, fordi den ikke er bundet til opremsende kodeskabeloner, der beskriver specifikke sårbarheder. Omkostningerne ved denne funktion er en stigning i antallet af falske positive sammenlignet med CodeQL-baserede kontroller.
Kilde: opennet.ru