GitHub va donar a conèixer ja fa diversos dies l'addició de un sistema daprenentatge automàtic experimental al servei d'escaneig de codi per identificar tipus comuns de vulnerabilitats al codi. Amb això, la tecnologia d'anàlisi de codi de GitHub basada en CodeQL s'ha renovat i ara utilitza l'aprenentatge automàtic (ML) per trobar possibles vulnerabilitats de seguretat al codi.
I és que GitHub va adquirir la tecnologia per a CodeQL com a part de l'adquisició de Semmie. CodeQL és utilitzat per equips de recerca de seguretat per realitzar anàlisis semàntiques de codi, i GitHub ho va fer de codi obert.
Amb aquests models, CodeQL pot identificar més fluxos de dades dusuaris que no són de confiança i, per tant, més vulnerabilitats de seguretat potencials.
S'observa que l'ús d'un sistema d'aprenentatge automàtic ha permès ampliar significativament la gamma de problemes identificats, l'anàlisi del qual ara no es limita a verificar patrons típics i no està lligat a marcs coneguts.
Dels problemes identificats pel nou sistema, s'esmenten errors que condueixen a cross-site scripting (XSS), distorsió de rutes de fitxers (per exemple, a través de la indicació «/..»), substitució de consultes SQL i NoSQL .
L'escaneig de codi ara pot trobar més potencials vulnerabilitats de seguretat en aprofitar un nou model d'aprenentatge profund. Aquesta funció experimental està disponible en versió beta pública per a repositoris de JavaScript i TypeScript a GitHub.com.
La nova eina de GitHub fue llançada com una versió beta pública gratuïta per a tots els usuaris, la funció utilitza l'aprenentatge automàtic i l'aprenentatge profund per escanejar bases de codi i identificar vulnerabilitats de seguretat comunes abans que s'enviï un producte.
La funció experimental està actualment disponible per a tots els usuaris de la plataforma, inclosos els usuaris de GitHub Enterprise com una funció de seguretat avançada de GitHub, i es pot fer servir per a projectes escrits en JavaScript o TypeScript.
Amb la ràpida evolució de l'ecosistema de codi obert, hi ha una cua llarga cada vegada més gran de biblioteques que es fan servir amb menys freqüència. Fem servir exemples sorgits de les consultes CodeQL creades manualment per entrenar models d'aprenentatge profund per reconèixer biblioteques de codi obert, així com biblioteques de codi tancat desenvolupades internament.
l'eina està dissenyada per cercar les quatre vulnerabilitats més comunes que afecten els projectes escrits en aquests dos llenguatges: cross-site scripting (XSS), injecció de ruta, injecció NoSQL i injecció SQL.
El servei d'escaneig de codi permet detectar vulnerabilitats en una etapa primerenca de desenvolupament en escanejar cada operació "git push" a la recerca de possibles problemes.
El resultat s'adjunta directament a la sol·licitud d'extracció. Anteriorment, la comprovació es feia mitjançant el motor CodeQL , que analitza patrons amb exemples típics de codi vulnerable (CodeQL permet generar una plantilla de codi vulnerable per detectar la presència d'una vulnerabilitat similar al codi d'altres projectes).
Amb les noves capacitats d'anàlisi, l'escaneig de codi pot generar encara més alertes per a quatre patrons de vulnerabilitat comuns: seqüències d'ordres entre llocs (XSS), injecció de ruta, injecció NoSQL i injecció SQL. Junts, aquests quatre tipus de vulnerabilitat representen moltes de les vulnerabilitats recents (CVE) a l'ecosistema de JavaScript/TypeScript, i millorar la capacitat de l'escaneig de codi per detectar aquestes vulnerabilitats al principi del procés de desenvolupament és clau per ajudar els desenvolupadors a escriure un codi més segur.
El nou motor daprenentatge automàtic pot identificar vulnerabilitats prèviament desconegudes perquè no està vinculat a la iteració de patrons de codi que descriuen vulnerabilitats específiques. El preu de tal oportunitat és un augment en el nombre de falsos positius en comparació dels controls basats en CodeQL.
Finalment per als que estiguin interessats en poder conèixer més a l'respecte, Poden consultar els detalls en el següent enllaç.
A més és important esmentar que a l'etapa de prova, la nova funcionalitat actualment només està disponible per a repositoris amb codi JavaScript i TypeScript.