GitHub anoncis la aldonon de eksperimenta maŝinlernada sistemo al sia Koda skanada servo por identigi oftajn specojn de vundeblecoj en kodo. En la testa stadio, la nova funkcieco estas nuntempe nur disponebla por deponejoj kun kodo en JavaScript kaj TypeScript. Oni rimarkas, ke la uzo de maŝinlernado sistemo ebligis signife vastigi la gamon de identigitaj problemoj, kiam oni analizas, kiuj la sistemo ne plu estas limigita al kontrolado de normaj ŝablonoj kaj ne estas ligita al konataj kadroj. Inter la problemoj identigitaj de la nova sistemo estas menciitaj eraroj, kiuj kondukas al trans-eja skripto (XSS), distordo de dosiervojoj (ekzemple per la indiko de "/.."), anstataŭigo de SQL kaj NoSQL-demandoj.
La Kodo-skanada servo permesas vin identigi vundeblecojn en frua etapo de evoluo skanante ĉiun "git push" operacion por eblaj problemoj. La rezulto estas alfiksita rekte al la tirpeto. Antaŭe, la kontrolo estis farita per la CodeQL-motoro, kiu analizas ŝablonojn kun tipaj ekzemploj de vundebla kodo (CodeQL permesas krei vundeblan kodan ŝablonon por identigi la ĉeeston de simila vundebleco en la kodo de aliaj projektoj). La nova motoro, kiu uzas maŝinlernadon, povas identigi antaŭe nekonatajn vundeblecojn ĉar ĝi ne estas ligita al listigado de kodŝablonoj kiuj priskribas specifajn vundeblecojn. La kosto de ĉi tiu funkcio estas pliiĝo en la nombro da falsaj pozitivoj kompare kun CodeQL-bazitaj ĉekoj.
fonto: opennet.ru