GitHub tilkynnti um viðbót við tilraunavélanámskerfi við kóðaskönnunarþjónustu sína til að bera kennsl á algengar tegundir veikleika í kóða. Á prófunarstigi er nýja virknin sem stendur aðeins í boði fyrir geymslur með kóða í JavaScript og TypeScript. Það er tekið fram að notkun vélanámskerfis hefur gert það mögulegt að stækka umtalsvert úrval af greindum vandamálum, þegar greining er kerfið takmarkast ekki lengur við að athuga staðlað sniðmát og er ekki bundið við vel þekkt ramma. Meðal vandamála sem nýja kerfið greinir frá eru villur nefndar sem leiða til forskrifta á milli vefsvæða (XSS), brenglunar á skráarslóðum (til dæmis með „/..”), skipta um SQL og NoSQL fyrirspurnir.
Kóðaskönnunarþjónustan gerir þér kleift að bera kennsl á veikleika á frumstigi þróunar með því að skanna hverja „git push“ aðgerð fyrir hugsanleg vandamál. Niðurstaðan er fest beint við dráttarbeiðnina. Áður var eftirlitið framkvæmt með því að nota CodeQL vélina, sem greinir sniðmát með dæmigerðum dæmum um viðkvæman kóða (CodeQL gerir þér kleift að búa til viðkvæmt kóðasniðmát til að bera kennsl á tilvist svipaðs varnarleysis í kóða annarra verkefna). Nýja vélin, sem notar vélanám, getur greint áður óþekkta veikleika vegna þess að hún er ekki bundin við upptalning á kóðasniðmátum sem lýsa sérstökum veikleikum. Kostnaðurinn við þennan eiginleika er aukning á fjölda falskra jákvæðra staða samanborið við athuganir sem byggja á CodeQL.
Heimild: opennet.ru