GitHub oznámil pridanie experimentálneho systému strojového učenia do svojej služby skenovania kódu na identifikáciu bežných typov zraniteľností v kóde. V štádiu testovania je nová funkcionalita momentálne dostupná len pre úložiská s kódom v JavaScripte a TypeScripte. Je potrebné poznamenať, že použitie systému strojového učenia umožnilo výrazne rozšíriť rozsah identifikovaných problémov, pri ktorých analýze sa systém už neobmedzuje na kontrolu štandardných šablón a nie je viazaný na dobre známe rámce. Medzi problémami, ktoré nový systém identifikoval, sú spomenuté chyby, ktoré vedú k cross-site scriptingu (XSS), skresleniu ciest k súborom (napríklad prostredníctvom označenia „/..“), zámene SQL a NoSQL dotazov.
Služba skenovania kódu vám umožňuje identifikovať zraniteľné miesta v ranom štádiu vývoja skenovaním každej operácie „git push“ na potenciálne problémy. Výsledok je pripojený priamo k žiadosti o stiahnutie. Predtým sa kontrola vykonávala pomocou nástroja CodeQL, ktorý analyzuje šablóny s typickými príkladmi zraniteľného kódu (CodeQL vám umožňuje vytvoriť šablónu zraniteľného kódu na identifikáciu prítomnosti podobnej zraniteľnosti v kóde iných projektov). Nový engine, ktorý využíva strojové učenie, dokáže identifikovať predtým neznáme zraniteľnosti, pretože nie je viazaný na enumeráciu šablón kódu, ktoré popisujú konkrétne zraniteľnosti. Cenou tejto funkcie je zvýšenie počtu falošných poplachov v porovnaní s kontrolami založenými na CodeQL.
Zdroj: opennet.ru