GitHub અનાવરણ ના ઉમેરા ઘણા દિવસો પહેલા મશીન લર્નિંગ સિસ્ટમના પ્રયોગોl કોડ સ્કેનિંગ સેવા સામાન્ય પ્રકારની નબળાઈઓને ઓળખવા કોડમાં. આ સાથે, GitHub ની CodeQL-આધારિત કોડ વિશ્લેષણ તકનીકને સુધારી દેવામાં આવી છે અને હવે કોડમાં સંભવિત સુરક્ષા નબળાઈઓ શોધવા માટે મશીન લર્નિંગ (ML) નો ઉપયોગ કરે છે.
અને તે GitHub છે CodeQL માટેની ટેકનોલોજી મેળવી સેમી એક્વિઝિશનના ભાગ રૂપે. કોડનું સિમેન્ટીક વિશ્લેષણ કરવા માટે સુરક્ષા સંશોધન ટીમો દ્વારા કોડક્યુએલનો ઉપયોગ કરવામાં આવે છે, અને GitHubએ તેને ઓપન સોર્સ બનાવ્યો છે.
આ મોડલ્સ સાથે, CodeQL વધુ અવિશ્વસનીય વપરાશકર્તા ડેટા સ્ટ્રીમ્સ અને તેથી વધુ સંભવિત સુરક્ષા નબળાઈઓને ઓળખી શકે છે.
એવું અવલોકન કરવામાં આવે છે કે મશીન લર્નિંગ સિસ્ટમના ઉપયોગથી ઓળખાયેલી સમસ્યાઓની શ્રેણીને નોંધપાત્ર રીતે વિસ્તૃત કરવાનું શક્ય બન્યું છે, જેના વિશ્લેષણમાં સિસ્ટમ હવે લાક્ષણિક પેટર્નને ચકાસવા સુધી મર્યાદિત નથી અને તે જાણીતા ફ્રેમવર્ક સાથે જોડાયેલી નથી.
નવી સિસ્ટમ દ્વારા ઓળખવામાં આવેલી સમસ્યાઓમાંથી, ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (XSS) તરફ દોરી જતી ભૂલો, ફાઇલ પાથની વિકૃતિ (ઉદાહરણ તરીકે, "/.." સંકેત દ્વારા), SQL અને NoSQL ક્વેરીઝની અવેજીનો ઉલ્લેખ કરવામાં આવ્યો છે.
કોડ સ્કેનિંગ હવે નવા ડીપ લર્નિંગ મોડલનો લાભ લઈને વધુ સંભવિત સુરક્ષા નબળાઈઓ શોધી શકે છે. આ પ્રાયોગિક સુવિધા GitHub.com પર JavaScript અને TypeScript રિપોઝીટરીઝ માટે સાર્વજનિક બીટામાં ઉપલબ્ધ છે.
GitHubનું નવું સાધન fue એક મફત જાહેર બીટા તરીકે પ્રકાશિત બધા વપરાશકર્તાઓ માટે, સુવિધા કોડ બેઝને સ્કેન કરવા અને ઉત્પાદન મોકલવામાં આવે તે પહેલાં સામાન્ય સુરક્ષા નબળાઈઓને ઓળખવા માટે મશીન લર્નિંગ અને ડીપ લર્નિંગનો ઉપયોગ કરે છે.
પ્રાયોગિક સુવિધા હાલમાં તમામ પ્લેટફોર્મ વપરાશકર્તાઓ માટે ઉપલબ્ધ છે, જેમાં GitHub એન્ટરપ્રાઇઝ વપરાશકર્તાઓને GitHub એડવાન્સ્ડ સિક્યુરિટી ફીચર તરીકે સામેલ છે, અને તેનો ઉપયોગ JavaScript અથવા TypeScriptમાં લખેલા પ્રોજેક્ટ્સ માટે થઈ શકે છે.
ઓપન સોર્સ ઇકોસિસ્ટમના ઝડપી ઉત્ક્રાંતિ સાથે, પુસ્તકાલયોની લાંબી પૂંછડીઓ સતત વધી રહી છે જેનો ઉપયોગ ઓછો વારંવાર થાય છે. ઓપન સોર્સ લાઇબ્રેરીઓ તેમજ આંતરિક રીતે વિકસિત બંધ સ્ત્રોત લાઇબ્રેરીઓને ઓળખવા માટે ડીપ લર્નિંગ મોડલ્સને તાલીમ આપવા માટે અમે મેન્યુઅલી બનાવેલ CodeQL ક્વેરીઝમાંથી ઉદાહરણોનો ઉપયોગ કરીએ છીએ.
સાધન ચાર સૌથી સામાન્ય નબળાઈઓ શોધવા માટે રચાયેલ છે જે આ બે ભાષાઓમાં લખેલા પ્રોજેક્ટને અસર કરે છે: ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (XSS), રૂટ ઈન્જેક્શન, NoSQL ઈન્જેક્શન અને SQL ઈન્જેક્શન.
કોડ સ્કેનિંગ સેવા તમને સંભવિત સમસ્યાઓ માટે દરેક ગિટ પુશ ઑપરેશનને સ્કેન કરીને વિકાસના પ્રારંભિક તબક્કે નબળાઈઓ શોધવાની મંજૂરી આપે છે.
પરિણામ સીધા પુલ વિનંતી સાથે જોડાયેલ છે. અગાઉ, ચેક કોડક્યુએલ એન્જિનનો ઉપયોગ કરીને કરવામાં આવતું હતું, જે નબળા કોડના લાક્ષણિક ઉદાહરણો સાથે પેટર્નનું વિશ્લેષણ કરે છે (કોડક્યુએલ તમને અન્ય પ્રોજેક્ટના કોડમાં સમાન નબળાઈની હાજરી શોધવા માટે નબળા કોડનો નમૂનો જનરેટ કરવાની મંજૂરી આપે છે).
નવી વિશ્લેષણ ક્ષમતાઓ સાથે, કોડ સ્કેનિંગ ચાર સામાન્ય નબળાઈ પેટર્ન માટે વધુ ચેતવણીઓ જનરેટ કરી શકે છે: ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (XSS), પાથ ઈન્જેક્શન, NoSQL ઈન્જેક્શન અને SQL ઈન્જેક્શન. એકસાથે, આ ચાર નબળાઈ પ્રકારો JavaScript/TypeScript ઇકોસિસ્ટમમાં ઘણી તાજેતરની નબળાઈઓ (CVEs)નું પ્રતિનિધિત્વ કરે છે અને વિકાસ પ્રક્રિયાની શરૂઆતમાં આવી નબળાઈઓને શોધવા માટે કોડ સ્કેનિંગની ક્ષમતામાં સુધારો કરવો એ વિકાસકર્તાઓને વધુ સુરક્ષિત કોડ લખવામાં મદદ કરવા માટેની ચાવી છે.
નવું મશીન લર્નિંગ એન્જિન અગાઉની અજાણી નબળાઈઓને ઓળખી શકે છે કારણ કે તે કોડ પેટર્નના પુનરાવર્તન સાથે જોડાયેલ નથી જે ચોક્કસ નબળાઈઓનું વર્ણન કરે છે. આવી તકની કિંમત કોડક્યુએલ-આધારિત તપાસની તુલનામાં ખોટા હકારાત્મકની સંખ્યામાં વધારો છે.
છેલ્લે તે વિશે વધુ જાણવા માટે રસ ધરાવતા લોકો માટે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં
ઉપરાંત એ ઉલ્લેખ કરવો મહત્વપૂર્ણ છે કે પરીક્ષણ તબક્કામાં, નવી કાર્યક્ષમતા હાલમાં ફક્ત JavaScript અને TypeScript કોડ સાથેના ભંડારો માટે જ ઉપલબ્ધ છે.