GitHub 宣佈在其程式碼掃描服務中添加實驗性機器學習系統,以識別程式碼中常見的漏洞類型。在測試階段,新功能目前僅適用於具有 JavaScript 和 TypeScript 程式碼的儲存庫。值得注意的是,機器學習系統的使用使得顯著擴大已識別問題的範圍成為可能,在分析時,系統不再局限於檢查標準模板,並且不依賴眾所周知的框架。在新系統發現的問題中,提到了導致跨站腳本(XSS)、檔案路徑失真(例如,透過「/..」指示)、SQL和NoSQL查詢取代的錯誤。
程式碼掃描服務可讓您透過掃描每個「git Push」操作以查找潛在問題,從而在開發的早期階段識別漏洞。結果直接附加到拉取請求中。先前,檢查是使用CodeQL引擎進行的,該引擎會分析具有易受攻擊程式碼典型範例的範本(CodeQL允許您建立易受攻擊的程式碼範本來識別其他專案程式碼中是否存在類似漏洞)。使用機器學習的新引擎可以識別以前未知的漏洞,因為它不依賴枚舉描述特定漏洞的程式碼模板。與基於 CodeQL 的檢查相比,此功能的代價是誤報數量增加。
來源: opennet.ru