GitHub je najavio dodavanje eksperimentalnog sustava strojnog učenja svojoj usluzi skeniranja koda za prepoznavanje uobičajenih vrsta ranjivosti u kodu. U fazi testiranja nova je funkcionalnost trenutačno dostupna samo za repozitorije s kodom u JavaScriptu i TypeScriptu. Napominje se da je korištenje sustava strojnog učenja omogućilo značajno proširenje spektra identificiranih problema, pri čijoj analizi sustav više nije ograničen na provjeru standardnih predložaka i nije vezan uz dobro poznate okvire. Među problemima koje je identificirao novi sustav spominju se pogreške koje dovode do cross-site skriptiranja (XSS), iskrivljavanja staza datoteka (na primjer, kroz indikaciju "/.."), zamjene SQL i NoSQL upita.
Usluga skeniranja koda omogućuje vam prepoznavanje ranjivosti u ranoj fazi razvoja skeniranjem svake "git push" operacije radi potencijalnih problema. Rezultat se prilaže izravno zahtjevu za povlačenjem. Prethodno se provjera provodila pomoću mehanizma CodeQL koji analizira predloške s tipičnim primjerima ranjivog koda (CodeQL vam omogućuje stvaranje predloška ranjivog koda kako biste identificirali prisutnost slične ranjivosti u kodu drugih projekata). Novi motor, koji koristi strojno učenje, može identificirati dosad nepoznate ranjivosti jer nije vezan za nabrajanje predložaka koda koji opisuju specifične ranjivosti. Cijena ove značajke je povećanje broja lažno pozitivnih rezultata u usporedbi s provjerama temeljenim na CodeQL-u.
Izvor: opennet.ru