GitHub kundige de tafoeging oan fan in eksperiminteel masine-learsysteem oan har Code-scan-tsjinst om mienskiplike soarten kwetsberens yn koade te identifisearjen. Op it teststadium is de nije funksjonaliteit op it stuit allinich beskikber foar repositories mei koade yn JavaScript en TypeScript. It wurdt opmurken dat it brûken fan in masine learen systeem hat makke it mooglik om gâns útwreidzje it oanbod fan identifisearre problemen, doe't analysearjen hokker it systeem is net langer beheind ta in kontrôle standert sjabloanen en is net bûn oan bekende kaders. Under de problemen identifisearre troch it nije systeem, wurde flaters neamd dy't liede ta cross-site scripting (XSS), ferfoarming fan triempaden (bygelyks troch de oantsjutting fan "/.."), ferfanging fan SQL- en NoSQL-fragen.
De Code scanning tsjinst lit jo kwetsberens identifisearje yn in ier stadium fan ûntwikkeling troch elke "git push" operaasje te scannen foar potensjele problemen. It resultaat wurdt direkt taheakke oan it pull-fersyk. Earder waard de kontrôle útfierd mei de CodeQL-motor, dy't sjabloanen analysearret mei typyske foarbylden fan kwetsbere koade (CodeQL lit jo in kwetsbere koade-sjabloan oanmeitsje om de oanwêzigens fan in ferlykbere kwetsberens yn 'e koade fan oare projekten te identifisearjen). De nije motor, dy't masine learen brûkt, kin earder ûnbekende kwetsberens identifisearje, om't it net bûn is oan it opteljen fan koadesjabloanen dy't spesifike kwetsberens beskriuwe. De kosten fan dizze funksje binne in ferheging fan it oantal falske positiven yn ferliking mei CodeQL-basearre kontrôles.
Boarne: opennet.ru