GitHub a annoncé l'ajout d'un système expérimental d'apprentissage automatique à son service d'analyse de code pour identifier les types courants de vulnérabilités dans le code. Au stade des tests, la nouvelle fonctionnalité n'est actuellement disponible que pour les référentiels avec du code en JavaScript et TypeScript. Il est à noter que l'utilisation d'un système d'apprentissage automatique a permis d'élargir considérablement l'éventail des problèmes identifiés, lors de l'analyse desquels le système ne se limite plus à vérifier des modèles standards et n'est pas lié à des frameworks bien connus. Parmi les problèmes identifiés par le nouveau système, on mentionne les erreurs qui conduisent au cross-site scripting (XSS), à la distorsion des chemins de fichiers (par exemple, via l'indication de «/..»), à la substitution des requêtes SQL et NoSQL.
Le service d'analyse de code vous permet d'identifier les vulnérabilités à un stade précoce du développement en analysant chaque opération « git push » à la recherche de problèmes potentiels. Le résultat est joint directement à la pull request. Auparavant, la vérification était effectuée à l'aide du moteur CodeQL, qui analyse des modèles avec des exemples typiques de code vulnérable (CodeQL permet de créer un modèle de code vulnérable pour identifier la présence d'une vulnérabilité similaire dans le code d'autres projets). Le nouveau moteur, qui utilise l'apprentissage automatique, peut identifier des vulnérabilités jusqu'alors inconnues, car il n'est pas lié à l'énumération de modèles de code décrivant des vulnérabilités spécifiques. Le coût de cette fonctionnalité est une augmentation du nombre de faux positifs par rapport aux vérifications basées sur CodeQL.
Source: opennet.ru