GitHub нь кодын нийтлэг төрлийн эмзэг байдлыг тодорхойлохын тулд Код скан хийх үйлчилгээндээ туршилтын машин сургалтын системийг нэмж зарлалаа. Туршилтын үе шатанд шинэ функцийг одоогоор зөвхөн JavaScript болон TypeScript код бүхий репозиторуудад ашиглах боломжтой. Машин сургалтын системийг ашигласнаар систем нь стандарт загваруудыг шалгахаар хязгаарлагдахаа больж, сайн мэддэг хүрээтэй холбоогүй болохыг шинжлэхэд тодорхойлсон асуудлын хүрээг мэдэгдэхүйц өргөжүүлэх боломжтой болсон гэж тэмдэглэжээ. Шинэ системээр тодорхойлсон асуудлуудын дунд сайт хоорондын скрипт (XSS), файлын замыг гажуудуулах (жишээлбэл, "/.." гэсэн тэмдэглэгээгээр), SQL болон NoSQL хайлтуудыг орлуулах зэрэг алдаануудыг дурдлаа.
Код сканнердах үйлчилгээ нь "git push" үйлдэл бүрийг болзошгүй асуудлуудыг сканнердах замаар хөгжлийн эхний үе шатанд эмзэг байдлыг тодорхойлох боломжийг олгодог. Үр дүнг татах хүсэлтэд шууд хавсаргасан болно. Өмнө нь шалгалтыг CodeQL хөдөлгүүр ашиглан хийж байсан бөгөөд энэ нь эмзэг кодын ердийн жишээнүүдийн загварт дүн шинжилгээ хийдэг (CodeQL нь бусад төслүүдийн кодонд ижил төстэй сул тал байгаа эсэхийг тодорхойлохын тулд эмзэг кодын загвар үүсгэх боломжийг олгодог). Машины сургалтыг ашигладаг шинэ хөдөлгүүр нь тодорхой эмзэг байдлыг тодорхойлсон кодын загваруудыг тоолохтой холбоогүй тул урьд өмнө мэдэгдээгүй сул талуудыг тодорхойлох боломжтой. Энэ функцийн өртөг нь CodeQL-д суурилсан шалгалттай харьцуулахад худал эерэг үр дүнгийн тоо нэмэгдсэн явдал юм.
Эх сурвалж: opennet.ru