GitHub نے اپنی کوڈ اسکیننگ سروس میں ایک تجرباتی مشین لرننگ سسٹم کو شامل کرنے کا اعلان کیا تاکہ کوڈ میں عام قسم کی کمزوریوں کی نشاندہی کی جا سکے۔ جانچ کے مرحلے پر، نئی فعالیت فی الحال صرف JavaScript اور TypeScript میں کوڈ والے ذخیروں کے لیے دستیاب ہے۔ یہ نوٹ کیا جاتا ہے کہ مشین لرننگ سسٹم کے استعمال نے شناخت شدہ مسائل کی حد کو نمایاں طور پر بڑھانا ممکن بنایا ہے، جب اس کا تجزیہ کیا جائے کہ یہ نظام اب معیاری ٹیمپلیٹس کی جانچ تک محدود نہیں ہے اور معروف فریم ورک سے منسلک نہیں ہے۔ نئے سسٹم کے ذریعے جن مسائل کی نشاندہی کی گئی ہے، ان میں غلطیوں کا تذکرہ کیا گیا ہے جو کراس سائٹ اسکرپٹنگ (XSS)، فائل کے راستوں کو مسخ کرتی ہیں (مثال کے طور پر، "/.." کے اشارے کے ذریعے)، SQL اور NoSQL سوالات کا متبادل۔
کوڈ اسکیننگ سروس آپ کو ممکنہ مسائل کے لیے ہر "گٹ پش" آپریشن کو اسکین کرکے ترقی کے ابتدائی مرحلے میں کمزوریوں کی نشاندہی کرنے کی اجازت دیتی ہے۔ نتیجہ براہ راست پل کی درخواست سے منسلک ہے۔ اس سے پہلے، چیک کوڈ کیو ایل انجن کا استعمال کرتے ہوئے کیا گیا تھا، جو کمزور کوڈ کی مخصوص مثالوں کے ساتھ ٹیمپلیٹس کا تجزیہ کرتا ہے (کوڈ کیو ایل آپ کو دوسرے پروجیکٹس کے کوڈ میں اسی طرح کے خطرے کی موجودگی کی نشاندہی کرنے کے لیے ایک کمزور کوڈ ٹیمپلیٹ بنانے کی اجازت دیتا ہے)۔ نیا انجن، جو مشین لرننگ کا استعمال کرتا ہے، پہلے کی نامعلوم کمزوریوں کی نشاندہی کر سکتا ہے کیونکہ یہ مخصوص کمزوریوں کو بیان کرنے والے کوڈ ٹیمپلیٹس کی گنتی سے منسلک نہیں ہے۔ اس خصوصیت کی قیمت CodeQL پر مبنی چیک کے مقابلے میں جھوٹے مثبت کی تعداد میں اضافہ ہے۔
ماخذ: opennet.ru