GitHub-ը հայտարարեց մեքենայական ուսուցման փորձարարական համակարգի ավելացման մասին իր կոդի սկանավորման ծառայության մեջ՝ բացահայտելու կոդի խոցելիության ընդհանուր տեսակները: Փորձարկման փուլում նոր գործառույթը ներկայումս հասանելի է միայն JavaScript-ի և TypeScript-ի կոդով պահեստների համար: Նշվում է, որ մեքենայական ուսուցման համակարգի օգտագործումը հնարավորություն է տվել զգալիորեն ընդլայնել հայտնաբերված խնդիրների շրջանակը, որոնք վերլուծելիս համակարգը այլևս չի սահմանափակվում ստանդարտ կաղապարների ստուգմամբ և կապված չէ հայտնի շրջանակների հետ: Նոր համակարգի կողմից հայտնաբերված խնդիրների շարքում նշվում են սխալներ, որոնք հանգեցնում են միջկայքային սկրիպտավորման (XSS), ֆայլերի ուղիների աղավաղմանը (օրինակ՝ «/.» նշանի միջոցով), SQL և NoSQL հարցումների փոխարինում։
Code scanning ծառայությունը թույլ է տալիս բացահայտել խոցելիությունները զարգացման վաղ փուլում՝ սկանավորելով յուրաքանչյուր «git push» գործողություն՝ հնարավոր խնդիրների համար: Արդյունքը կցվում է անմիջապես ձգման խնդրանքին: Նախկինում ստուգումն իրականացվել է CodeQL շարժիչի միջոցով, որը վերլուծում է կաղապարներ՝ խոցելի կոդի բնորոշ օրինակներով (CodeQL-ը թույլ է տալիս ստեղծել խոցելի կոդի ձևանմուշ՝ այլ նախագծերի կոդում նմանատիպ խոցելիության առկայությունը հայտնաբերելու համար): Նոր շարժիչը, որն օգտագործում է մեքենայական ուսուցում, կարող է բացահայտել նախկինում անհայտ խոցելիությունները, քանի որ այն կապված չէ կոնկրետ խոցելիությունները նկարագրող կոդի ձևանմուշների թվարկման հետ: Այս հատկանիշի արժեքը կեղծ պոզիտիվների քանակի ավելացում է՝ համեմատած CodeQL-ի վրա հիմնված ստուգումների հետ:
Source: opennet.ru