GitHub кодтағы осалдықтардың жалпы түрлерін анықтау үшін Кодты сканерлеу қызметіне тәжірибелік машиналық оқыту жүйесін қосқанын жариялады. Тестілеу кезеңінде жаңа функционалдылық қазіргі уақытта тек JavaScript және TypeScript кодтары бар репозиторийлер үшін қолжетімді. Машиналық оқыту жүйесін пайдалану жүйе бұдан былай стандартты үлгілерді тексерумен шектелмейтін және белгілі фреймворктермен байланыспаған талдау кезінде анықталған проблемалардың ауқымын айтарлықтай кеңейтуге мүмкіндік бергені атап өтілді. Жаңа жүйе анықтаған мәселелердің ішінде сайттар аралық сценарийге (XSS), файл жолдарының бұрмалануына (мысалы, «/..» белгісі арқылы), SQL және NoSQL сұрауларының ауыстырылуына әкелетін қателер аталды.
Кодты сканерлеу қызметі ықтимал ақауларға әрбір «git push» операциясын сканерлеу арқылы дамудың бастапқы кезеңінде осалдықтарды анықтауға мүмкіндік береді. Нәтиже тікелей тарту сұрауына тіркеледі. Бұрын тексеру осал кодтың типтік мысалдары бар шаблондарды талдайтын CodeQL қозғалтқышының көмегімен жүзеге асырылды (CodeQL басқа жобалардың кодында ұқсас осалдықтың болуын анықтау үшін осал код үлгісін жасауға мүмкіндік береді). Машиналық оқытуды пайдаланатын жаңа қозғалтқыш бұрын белгісіз осалдықтарды анықтай алады, себебі ол нақты осалдықтарды сипаттайтын код үлгілерін санауға байланысты емес. Бұл мүмкіндіктің құны CodeQL негізіндегі тексерулермен салыстырғанда жалған позитивтер санының артуы болып табылады.
Ақпарат көзі: opennet.ru