GitHub anunciou a incorporación dun sistema experimental de aprendizaxe automática ao seu servizo de dixitalización de código para identificar tipos comúns de vulnerabilidades no código. Na fase de proba, a nova funcionalidade só está dispoñible actualmente para repositorios con código en JavaScript e TypeScript. Nótase que o uso dun sistema de aprendizaxe automática permitiu ampliar significativamente o abano de problemas identificados, á hora de analizar cales o sistema xa non se limita a comprobar modelos estándar e non está ligado a marcos coñecidos. Entre os problemas identificados polo novo sistema, menciónanse erros que levan a cross-site scripting (XSS), distorsión das rutas de ficheiros (por exemplo, mediante a indicación de “/..”), substitución de consultas SQL e NoSQL.
O servizo de dixitalización de código permítelle identificar vulnerabilidades nunha fase inicial de desenvolvemento analizando cada operación "git push" para detectar posibles problemas. O resultado engádese directamente á solicitude de extracción. Previamente, a comprobación realizábase mediante o motor CodeQL, que analiza modelos con exemplos típicos de código vulnerable (CodeQL permite crear un modelo de código vulnerable para identificar a presenza dunha vulnerabilidade similar no código doutros proxectos). O novo motor, que utiliza aprendizaxe automática, pode identificar vulnerabilidades previamente descoñecidas porque non está vinculado a enumerar modelos de código que describen vulnerabilidades específicas. O custo desta función é un aumento no número de falsos positivos en comparación coas comprobacións baseadas en CodeQL.
Fonte: opennet.ru