A GitHub bejelentette, hogy kísérleti gépi tanulási rendszerrel egészíti ki a kódolvasó szolgáltatást a kódban előforduló gyakori sérülékenységek azonosítására. A tesztelési szakaszban az új funkcionalitás jelenleg csak JavaScript és TypeScript kóddal rendelkező adattárak számára érhető el. Megjegyzendő, hogy a gépi tanulási rendszer alkalmazása lehetővé tette az azonosított problémák körének jelentős bővítését, amelyek elemzése során a rendszer már nem korlátozódik a szabványos sablonok ellenőrzésére, és nem kötődik jól ismert keretrendszerekhez. Az új rendszer által azonosított problémák között említik a cross-site scripting-hez (XSS) vezető hibákat, a fájl útvonalak torzulását (például „/..” jelzéssel), az SQL és NoSQL lekérdezések helyettesítését.
A kódellenőrző szolgáltatás lehetővé teszi a sérülékenységek azonosítását a fejlesztés korai szakaszában azáltal, hogy minden egyes „git push” műveletet megvizsgál a lehetséges problémák után. Az eredmény közvetlenül a lehívási kérelemhez van csatolva. Korábban az ellenőrzést a CodeQL motor segítségével végezték, amely a sablonokat a sebezhető kódok tipikus példáival elemzi (a CodeQL lehetővé teszi egy sebezhető kódsablon létrehozását, hogy azonosítsa a hasonló sérülékenység jelenlétét más projektek kódjában). A gépi tanulást használó új motor képes azonosítani a korábban ismeretlen biztonsági réseket, mert nem kötődik konkrét sebezhetőségeket leíró kódsablonok felsorolásához. Ennek a szolgáltatásnak a költsége a CodeQL-alapú ellenőrzésekhez képest a hamis pozitív eredmények számának növekedése.
Forrás: opennet.ru