GitHub, koddaki yaygın güvenlik açığı türlerini belirlemek için Kod tarama hizmetine deneysel bir makine öğrenimi sisteminin eklendiğini duyurdu. Test aşamasında, yeni işlevsellik şu anda yalnızca JavaScript ve TypeScript kodlu depolar için kullanılabilir. Sistemin artık standart şablonları kontrol etmekle sınırlı olmadığı ve iyi bilinen çerçevelere bağlı olmadığı analiz edilirken, bir makine öğrenimi sisteminin kullanılmasının, tanımlanan sorunların kapsamını önemli ölçüde genişletmeyi mümkün kıldığı belirtilmektedir. Yeni sistemin tespit ettiği sorunlar arasında, siteler arası komut dosyası çalıştırmaya (XSS), dosya yollarının bozulmasına (örneğin, “/..” göstergesiyle), SQL ve NoSQL sorgularının değiştirilmesine yol açan hatalar belirtiliyor.
Kod tarama hizmeti, her "git push" işlemini olası sorunlara karşı tarayarak geliştirmenin erken bir aşamasında güvenlik açıklarını belirlemenize olanak tanır. Sonuç doğrudan çekme isteğine eklenir. Daha önce kontrol, savunmasız kodların tipik örneklerini içeren şablonları analiz eden CodeQL motoru kullanılarak gerçekleştiriliyordu (CodeQL, diğer projelerin kodlarında benzer bir güvenlik açığının varlığını belirlemek için güvenlik açığına sahip bir kod şablonu oluşturmanıza olanak tanır). Makine öğrenimini kullanan yeni motor, belirli güvenlik açıklarını tanımlayan kod şablonlarının numaralandırılmasına bağlı olmadığı için önceden bilinmeyen güvenlik açıklarını tespit edebiliyor. Bu özelliğin maliyeti, CodeQL tabanlı kontrollerle karşılaştırıldığında hatalı pozitiflerin sayısındaki artıştır.
Kaynak: opennet.ru