गिटहब का अनावरण किया गया कई दिन पहले का जोड़ एक मशीन लर्निंग सिस्टम प्रयोगएल कोड स्कैनिंग सेवा के लिए सामान्य प्रकार की कमजोरियों की पहचान करने के लिए कोड में। इसके साथ, गिटहब की कोडक्यूएल-आधारित कोड विश्लेषण तकनीक को नया रूप दिया गया है और अब कोड में संभावित सुरक्षा कमजोरियों को खोजने के लिए मशीन लर्निंग (एमएल) का उपयोग करता है।
और यह है कि गिटहब CodeQL के लिए प्रौद्योगिकी हासिल की सेमी अधिग्रहण के हिस्से के रूप में। कोड का सिमेंटिक विश्लेषण करने के लिए सुरक्षा अनुसंधान दल द्वारा CodeQL का उपयोग किया जाता है, और GitHub ने इसे खुला स्रोत बनाया है।
इन मॉडलों के साथ, कोडक्यूएल अधिक अविश्वसनीय उपयोगकर्ता डेटा स्ट्रीम और इसलिए अधिक संभावित सुरक्षा कमजोरियों की पहचान कर सकता है।
यह देखा गया है कि मशीन लर्निंग सिस्टम के उपयोग ने पहचानी गई समस्याओं की सीमा का विस्तार करना संभव बना दिया है, जिनके विश्लेषण में सिस्टम अब विशिष्ट पैटर्न को सत्यापित करने तक सीमित नहीं है और ज्ञात ढांचे से बंधा नहीं है।
नई प्रणाली द्वारा पहचानी गई समस्याओं में, क्रॉस-साइट स्क्रिप्टिंग (XSS), फ़ाइल पथों की विकृति (उदाहरण के लिए, संकेत "/.." के माध्यम से), SQL और NoSQL प्रश्नों के प्रतिस्थापन का उल्लेख किया गया है।
कोड स्कैनिंग अब एक नए गहन शिक्षण मॉडल का लाभ उठाकर अधिक संभावित सुरक्षा कमजोरियों का पता लगा सकती है। यह प्रायोगिक सुविधा GitHub.com पर जावास्क्रिप्ट और टाइपस्क्रिप्ट रिपॉजिटरी के लिए सार्वजनिक बीटा में उपलब्ध है।
GitHub का नया टूल fue एक मुक्त सार्वजनिक बीटा के रूप में जारी किया गया सभी उपयोगकर्ताओं के लिए, यह फीचर मशीन लर्निंग और डीप लर्निंग का उपयोग कोड बेस को स्कैन करने और उत्पाद शिप करने से पहले सामान्य सुरक्षा कमजोरियों की पहचान करने के लिए करता है।
प्रायोगिक सुविधा वर्तमान में सभी प्लेटफ़ॉर्म उपयोगकर्ताओं के लिए उपलब्ध है, जिसमें GitHub एंटरप्राइज़ उपयोगकर्ता शामिल हैं, जो GitHub उन्नत सुरक्षा सुविधा के रूप में हैं, और इसका उपयोग जावास्क्रिप्ट या टाइपस्क्रिप्ट में लिखी गई परियोजनाओं के लिए किया जा सकता है।
ओपन सोर्स इकोसिस्टम के तेजी से विकास के साथ, पुस्तकालयों की एक बढ़ती हुई लंबी पूंछ है जो कम बार उपयोग की जाती है। हम खुले स्रोत पुस्तकालयों के साथ-साथ आंतरिक रूप से विकसित बंद स्रोत पुस्तकालयों को पहचानने के लिए गहन शिक्षण मॉडल को प्रशिक्षित करने के लिए मैन्युअल रूप से बनाए गए कोडक्यूएल प्रश्नों के उदाहरणों का उपयोग करते हैं।
उपकरण चार सबसे आम कमजोरियों को देखने के लिए डिज़ाइन किया गया है जो इन दो भाषाओं में लिखी गई परियोजनाओं को प्रभावित करते हैं: क्रॉस-साइट स्क्रिप्टिंग (XSS), रूट इंजेक्शन, NoSQL इंजेक्शन और SQL इंजेक्शन।
कोड स्कैनिंग सेवा आपको संभावित मुद्दों के लिए प्रत्येक गिट पुश ऑपरेशन को स्कैन करके विकास के प्रारंभिक चरण में कमजोरियों का पता लगाने की अनुमति देती है।
परिणाम सीधे पुल अनुरोध से जुड़ा हुआ है. पहले, कोडक्यूएल इंजन का उपयोग करके जांच की जाती थी, जो कमजोर कोड के विशिष्ट उदाहरणों के साथ पैटर्न का विश्लेषण करता है (कोडक्यूएल आपको अन्य परियोजनाओं के कोड में समान भेद्यता की उपस्थिति का पता लगाने के लिए कमजोर कोड का एक टेम्पलेट उत्पन्न करने की अनुमति देता है)।
नई विश्लेषण क्षमताओं के साथ, कोड स्कैनिंग चार सामान्य भेद्यता पैटर्न के लिए और भी अधिक अलर्ट उत्पन्न कर सकती है: क्रॉस-साइट स्क्रिप्टिंग (XSS), पाथ इंजेक्शन, NoSQL इंजेक्शन और SQL इंजेक्शन। साथ में, ये चार भेद्यता प्रकार जावास्क्रिप्ट / टाइपस्क्रिप्ट पारिस्थितिकी तंत्र में हाल की कई कमजोरियों (सीवीई) का प्रतिनिधित्व करते हैं, और विकास प्रक्रिया में इस तरह की कमजोरियों का पता लगाने के लिए कोड स्कैनिंग की क्षमता में सुधार करना डेवलपर्स को अधिक सुरक्षित कोड लिखने में मदद करने के लिए महत्वपूर्ण है।
नई मशीन लर्निंग इंजन पहले अज्ञात कमजोरियों की पहचान कर सकते हैं क्योंकि यह विशिष्ट कमजोरियों का वर्णन करने वाले कोड पैटर्न की पुनरावृत्ति से बंधा नहीं है। कोडक्यूएल-आधारित चेकों की तुलना में इस तरह के अवसर की कीमत झूठी सकारात्मक की संख्या में वृद्धि है।
अंत में इसके बारे में अधिक जानने के इच्छुक लोगों के लिए, आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक में
यह भी उल्लेख करना महत्वपूर्ण है कि परीक्षण चरण में, नई कार्यक्षमता वर्तमान में केवल जावास्क्रिप्ट और टाइपस्क्रिप्ट कोड वाले रिपॉजिटरी के लिए उपलब्ध है।