GitHub ಅನಾವರಣಗೊಂಡಿದೆ ಹಲವಾರು ದಿನಗಳ ಹಿಂದೆ ಸೇರ್ಪಡೆ ಯಂತ್ರ ಕಲಿಕೆ ವ್ಯವಸ್ಥೆಯ ಪ್ರಯೋಗಗಳುl ಕೋಡ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಸೇವೆಗೆ ಸಾಮಾನ್ಯ ರೀತಿಯ ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸಲು ಕೋಡ್ನಲ್ಲಿ. ಇದರೊಂದಿಗೆ, GitHub ನ CodeQL-ಆಧಾರಿತ ಕೋಡ್ ವಿಶ್ಲೇಷಣೆ ತಂತ್ರಜ್ಞಾನವನ್ನು ಪರಿಷ್ಕರಿಸಲಾಗಿದೆ ಮತ್ತು ಈಗ ಕೋಡ್ನಲ್ಲಿ ಸಂಭಾವ್ಯ ಭದ್ರತಾ ದೋಷಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಯಂತ್ರ ಕಲಿಕೆ (ML) ಅನ್ನು ಬಳಸುತ್ತದೆ.
ಮತ್ತು ಅದು GitHub ಆಗಿದೆ CodeQL ಗಾಗಿ ತಂತ್ರಜ್ಞಾನವನ್ನು ಪಡೆದುಕೊಂಡಿದೆ ಸೆಮ್ಮಿ ಸ್ವಾಧೀನದ ಭಾಗವಾಗಿ. ಕೋಡ್ಕ್ಯುಎಲ್ ಅನ್ನು ಭದ್ರತಾ ಸಂಶೋಧನಾ ತಂಡಗಳು ಕೋಡ್ನ ಲಾಕ್ಷಣಿಕ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಮಾಡಲು ಬಳಸುತ್ತದೆ ಮತ್ತು GitHub ಅದನ್ನು ತೆರೆದ ಮೂಲವನ್ನಾಗಿ ಮಾಡಿದೆ.
ಈ ಮಾದರಿಗಳೊಂದಿಗೆ, CodeQL ಹೆಚ್ಚು ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಬಳಕೆದಾರ ಡೇಟಾ ಸ್ಟ್ರೀಮ್ಗಳನ್ನು ಗುರುತಿಸಬಹುದು ಮತ್ತು ಆದ್ದರಿಂದ ಹೆಚ್ಚು ಸಂಭಾವ್ಯ ಭದ್ರತಾ ದೋಷಗಳನ್ನು ಗುರುತಿಸಬಹುದು.
ಯಂತ್ರ ಕಲಿಕೆಯ ವ್ಯವಸ್ಥೆಯ ಬಳಕೆಯು ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಗಳ ವ್ಯಾಪ್ತಿಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ವಿಸ್ತರಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿದೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ, ಅದರ ವಿಶ್ಲೇಷಣೆಯಲ್ಲಿ ಸಿಸ್ಟಮ್ ಈಗ ವಿಶಿಷ್ಟ ಮಾದರಿಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಸೀಮಿತವಾಗಿಲ್ಲ ಮತ್ತು ತಿಳಿದಿರುವ ಚೌಕಟ್ಟುಗಳಿಗೆ ಸಂಬಂಧಿಸಿಲ್ಲ.
ಹೊಸ ವ್ಯವಸ್ಥೆಯಿಂದ ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಗಳಲ್ಲಿ, ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (XSS), ಫೈಲ್ ಪಥಗಳ ವಿರೂಪಕ್ಕೆ ಕಾರಣವಾಗುವ ದೋಷಗಳು (ಉದಾಹರಣೆಗೆ, "/.." ಸೂಚನೆಯ ಮೂಲಕ), SQL ಮತ್ತು NoSQL ಪ್ರಶ್ನೆಗಳ ಪರ್ಯಾಯವನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ.
ಹೊಸ ಆಳವಾದ ಕಲಿಕೆಯ ಮಾದರಿಯನ್ನು ನಿಯಂತ್ರಿಸುವ ಮೂಲಕ ಕೋಡ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಈಗ ಹೆಚ್ಚು ಸಂಭಾವ್ಯ ಭದ್ರತಾ ದೋಷಗಳನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು. ಈ ಪ್ರಾಯೋಗಿಕ ವೈಶಿಷ್ಟ್ಯವು GitHub.com ನಲ್ಲಿ JavaScript ಮತ್ತು TypeScript ರೆಪೊಸಿಟರಿಗಳಿಗಾಗಿ ಸಾರ್ವಜನಿಕ ಬೀಟಾದಲ್ಲಿ ಲಭ್ಯವಿದೆ.
GitHub ನ ಹೊಸ ಉಪಕರಣ fue ಅನ್ನು ಉಚಿತ ಸಾರ್ವಜನಿಕ ಬೀಟಾವಾಗಿ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ ಎಲ್ಲಾ ಬಳಕೆದಾರರಿಗೆ, ಈ ವೈಶಿಷ್ಟ್ಯವು ಕೋಡ್ ಬೇಸ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಮತ್ತು ಉತ್ಪನ್ನವನ್ನು ರವಾನಿಸುವ ಮೊದಲು ಸಾಮಾನ್ಯ ಭದ್ರತಾ ದೋಷಗಳನ್ನು ಗುರುತಿಸಲು ಯಂತ್ರ ಕಲಿಕೆ ಮತ್ತು ಆಳವಾದ ಕಲಿಕೆಯನ್ನು ಬಳಸುತ್ತದೆ.
ಪ್ರಾಯೋಗಿಕ ವೈಶಿಷ್ಟ್ಯವು ಪ್ರಸ್ತುತ ಎಲ್ಲಾ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಬಳಕೆದಾರರಿಗೆ ಲಭ್ಯವಿದೆ, GitHub ಎಂಟರ್ಪ್ರೈಸ್ ಬಳಕೆದಾರರಿಗೆ GitHub ಸುಧಾರಿತ ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯವಾಗಿ ಮತ್ತು JavaScript ಅಥವಾ ಟೈಪ್ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ ಬರೆಯಲಾದ ಯೋಜನೆಗಳಿಗೆ ಬಳಸಬಹುದು.
ತೆರೆದ ಮೂಲ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯ ಕ್ಷಿಪ್ರ ವಿಕಸನದೊಂದಿಗೆ, ಕಡಿಮೆ ಪುನರಾವರ್ತಿತವಾಗಿ ಬಳಸಲಾಗುವ ಗ್ರಂಥಾಲಯಗಳ ಉದ್ದನೆಯ ಬಾಲವು ನಿರಂತರವಾಗಿ ಹೆಚ್ಚುತ್ತಿದೆ. ಓಪನ್ ಸೋರ್ಸ್ ಲೈಬ್ರರಿಗಳನ್ನು ಮತ್ತು ಆಂತರಿಕವಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಮುಚ್ಚಿದ ಮೂಲ ಗ್ರಂಥಾಲಯಗಳನ್ನು ಗುರುತಿಸಲು ಆಳವಾದ ಕಲಿಕೆಯ ಮಾದರಿಗಳನ್ನು ತರಬೇತಿ ಮಾಡಲು ಹಸ್ತಚಾಲಿತವಾಗಿ ರಚಿಸಲಾದ CodeQL ಪ್ರಶ್ನೆಗಳಿಂದ ನಾವು ಉದಾಹರಣೆಗಳನ್ನು ಬಳಸುತ್ತೇವೆ.
ಸಾಧನ ನಾಲ್ಕು ಸಾಮಾನ್ಯ ದುರ್ಬಲತೆಗಳನ್ನು ನೋಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ ಈ ಎರಡು ಭಾಷೆಗಳಲ್ಲಿ ಬರೆಯಲಾದ ಯೋಜನೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ: ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (XSS), ರೂಟ್ ಇಂಜೆಕ್ಷನ್, NoSQL ಇಂಜೆಕ್ಷನ್ ಮತ್ತು SQL ಇಂಜೆಕ್ಷನ್.
ಸಂಭಾವ್ಯ ಸಮಸ್ಯೆಗಳಿಗಾಗಿ ಪ್ರತಿ ಜಿಟ್ ಪುಶ್ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಮೂಲಕ ಅಭಿವೃದ್ಧಿಯ ಆರಂಭಿಕ ಹಂತದಲ್ಲಿ ದೋಷಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಕೋಡ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಸೇವೆಯು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಫಲಿತಾಂಶವನ್ನು ನೇರವಾಗಿ ಪುಲ್ ವಿನಂತಿಗೆ ಲಗತ್ತಿಸಲಾಗಿದೆ. ಹಿಂದೆ, ಕೋಡ್ಕ್ಯೂಎಲ್ ಎಂಜಿನ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ತಪಾಸಣೆ ಮಾಡಲಾಗಿತ್ತು, ಇದು ದುರ್ಬಲ ಕೋಡ್ನ ವಿಶಿಷ್ಟ ಉದಾಹರಣೆಗಳೊಂದಿಗೆ ಮಾದರಿಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತದೆ (ಇತರ ಯೋಜನೆಗಳ ಕೋಡ್ನಲ್ಲಿ ಇದೇ ರೀತಿಯ ದುರ್ಬಲತೆಯ ಉಪಸ್ಥಿತಿಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ದುರ್ಬಲ ಕೋಡ್ನ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ರಚಿಸಲು ಕೋಡ್ಕ್ಯೂಎಲ್ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ).
ಹೊಸ ವಿಶ್ಲೇಷಣಾ ಸಾಮರ್ಥ್ಯಗಳೊಂದಿಗೆ, ಕೋಡ್ ಸ್ಕ್ಯಾನಿಂಗ್ ನಾಲ್ಕು ಸಾಮಾನ್ಯ ದುರ್ಬಲತೆಯ ಮಾದರಿಗಳಿಗೆ ಇನ್ನಷ್ಟು ಎಚ್ಚರಿಕೆಗಳನ್ನು ರಚಿಸಬಹುದು: ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (XSS), ಪಾತ್ ಇಂಜೆಕ್ಷನ್, NoSQL ಇಂಜೆಕ್ಷನ್ ಮತ್ತು SQL ಇಂಜೆಕ್ಷನ್. ಒಟ್ಟಾಗಿ, ಈ ನಾಲ್ಕು ದುರ್ಬಲತೆಯ ಪ್ರಕಾರಗಳು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್/ಟೈಪ್ಸ್ಕ್ರಿಪ್ಟ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯಲ್ಲಿನ ಇತ್ತೀಚಿನ ಅನೇಕ ದುರ್ಬಲತೆಗಳನ್ನು (CVE ಗಳು) ಪ್ರತಿನಿಧಿಸುತ್ತವೆ ಮತ್ತು ಅಭಿವೃದ್ಧಿ ಪ್ರಕ್ರಿಯೆಯ ಆರಂಭದಲ್ಲಿ ಇಂತಹ ದುರ್ಬಲತೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಕೋಡ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಸಾಮರ್ಥ್ಯವನ್ನು ಸುಧಾರಿಸುವುದು ಡೆವಲಪರ್ಗಳಿಗೆ ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ಕೋಡ್ ಬರೆಯಲು ಸಹಾಯ ಮಾಡುವ ಪ್ರಮುಖ ಅಂಶವಾಗಿದೆ.
ಹೊಸ ಯಂತ್ರ ಕಲಿಕೆ ಎಂಜಿನ್ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲದ ದೋಷಗಳನ್ನು ಗುರುತಿಸಬಹುದು ಏಕೆಂದರೆ ಇದು ನಿರ್ದಿಷ್ಟ ದುರ್ಬಲತೆಗಳನ್ನು ವಿವರಿಸುವ ಕೋಡ್ ಮಾದರಿಗಳ ಪುನರಾವರ್ತನೆಗೆ ಸಂಬಂಧಿಸಿಲ್ಲ. ಅಂತಹ ಅವಕಾಶದ ಬೆಲೆ CodeQL-ಆಧಾರಿತ ಚೆಕ್ಗಳಿಗೆ ಹೋಲಿಸಿದರೆ ತಪ್ಪು ಧನಾತ್ಮಕ ಸಂಖ್ಯೆಯಲ್ಲಿ ಹೆಚ್ಚಳವಾಗಿದೆ.
ಅಂತಿಮವಾಗಿ ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿರುವವರಿಗೆ, ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್ನಲ್ಲಿ.
ಪರೀಕ್ಷಾ ಹಂತದಲ್ಲಿ, ಹೊಸ ಕಾರ್ಯವು ಪ್ರಸ್ತುತ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಮತ್ತು ಟೈಪ್ಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ನೊಂದಿಗೆ ರೆಪೊಸಿಟರಿಗಳಿಗೆ ಮಾತ್ರ ಲಭ್ಯವಿದೆ ಎಂದು ನಮೂದಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ.