GitHub je napovedal dodajanje eksperimentalnega sistema strojnega učenja svoji storitvi skeniranja kode za prepoznavanje pogostih vrst ranljivosti v kodi. V fazi testiranja je nova funkcionalnost trenutno na voljo samo za repozitorije s kodo v JavaScript in TypeScript. Opozoriti je treba, da je uporaba sistema strojnega učenja omogočila bistveno razširitev nabora ugotovljenih težav, pri analizi katerih sistem ni več omejen na preverjanje standardnih predlog in ni vezan na znana ogrodja. Med težavami, ki jih je odkril novi sistem, so omenjene napake, ki vodijo do skriptiranja na več mestih (XSS), izkrivljanja poti datotek (na primer z navedbo »/..«), zamenjave poizvedb SQL in NoSQL.
Storitev skeniranja kode vam omogoča prepoznavanje ranljivosti v zgodnji fazi razvoja tako, da vsako operacijo »git push« pregleda za morebitne težave. Rezultat je priložen neposredno zahtevi za vlečenje. Prej je bilo preverjanje izvedeno z uporabo mehanizma CodeQL, ki analizira predloge s tipičnimi primeri ranljive kode (CodeQL vam omogoča, da ustvarite predlogo ranljive kode za prepoznavanje prisotnosti podobne ranljivosti v kodi drugih projektov). Novi motor, ki uporablja strojno učenje, lahko identificira predhodno neznane ranljivosti, ker ni vezan na naštevanje kodnih predlog, ki opisujejo specifične ranljivosti. Cena te funkcije je povečanje števila lažno pozitivnih rezultatov v primerjavi s preverjanji, ki temeljijo na CodeQL.
Vir: opennet.ru