GitHub चे अनावरण केले अनेक दिवसांपूर्वीची भर मशीन लर्निंग सिस्टमचे प्रयोगकोड स्कॅनिंग सेवेसाठी सामान्य प्रकारच्या भेद्यता ओळखण्यासाठी कोड मध्ये. यासह, GitHub चे CodeQL-आधारित कोड विश्लेषण तंत्रज्ञान सुधारित केले गेले आहे आणि आता कोडमधील संभाव्य सुरक्षा भेद्यता शोधण्यासाठी मशीन लर्निंग (ML) वापरते.
आणि ते GitHub आहे CodeQL साठी तंत्रज्ञान घेतले सेमी अधिग्रहणाचा भाग म्हणून. कोडचे सिमेंटिक विश्लेषण करण्यासाठी सुरक्षा संशोधन कार्यसंघांद्वारे CodeQL वापरला जातो आणि GitHub ने ते ओपन सोर्स बनवले आहे.
या मॉडेल्ससह, CodeQL अधिक अविश्वासू वापरकर्ता डेटा प्रवाह ओळखू शकतो आणि त्यामुळे अधिक संभाव्य सुरक्षा भेद्यता.
असे दिसून आले आहे की मशीन लर्निंग सिस्टमच्या वापरामुळे ओळखल्या गेलेल्या समस्यांची श्रेणी लक्षणीयरीत्या विस्तृत करणे शक्य झाले आहे, ज्याच्या विश्लेषणामध्ये सिस्टम आता ठराविक नमुन्यांची पडताळणी करण्यापुरती मर्यादित नाही आणि ज्ञात फ्रेमवर्कशी जोडलेली नाही.
नवीन प्रणालीद्वारे ओळखल्या गेलेल्या समस्यांपैकी, क्रॉस-साइट स्क्रिप्टिंग (XSS) कडे नेणार्या त्रुटी, फाईल पथांचे विकृतीकरण (उदाहरणार्थ, "/.." संकेतानुसार), SQL आणि NoSQL क्वेरीच्या प्रतिस्थापनाचा उल्लेख केला आहे. .
कोड स्कॅनिंग आता नवीन सखोल शिक्षण मॉडेलचा फायदा घेऊन अधिक संभाव्य सुरक्षा भेद्यता शोधू शकते. हे प्रायोगिक वैशिष्ट्य GitHub.com वर JavaScript आणि TypeScript भांडारांसाठी सार्वजनिक बीटामध्ये उपलब्ध आहे.
GitHub चे नवीन साधन fue विनामूल्य सार्वजनिक बीटा म्हणून रिलीझ केले सर्व वापरकर्त्यांसाठी, वैशिष्ट्य कोड बेस स्कॅन करण्यासाठी आणि उत्पादन पाठवण्यापूर्वी सामान्य सुरक्षा भेद्यता ओळखण्यासाठी मशीन लर्निंग आणि डीप लर्निंगचा वापर करते.
प्रायोगिक वैशिष्ट्य सध्या GitHub प्रगत सुरक्षा वैशिष्ट्य म्हणून GitHub Enterprise वापरकर्त्यांसह सर्व प्लॅटफॉर्म वापरकर्त्यांसाठी उपलब्ध आहे आणि JavaScript किंवा TypeScript मध्ये लिहिलेल्या प्रकल्पांसाठी वापरले जाऊ शकते.
ओपन सोर्स इकोसिस्टमच्या जलद उत्क्रांतीसह, कमी वारंवार वापरल्या जाणार्या लायब्ररींची एक सतत वाढणारी लांब शेपटी आहे. ओपन सोर्स लायब्ररी तसेच अंतर्गत विकसित क्लोज्ड सोर्स लायब्ररी ओळखण्यासाठी सखोल शिक्षण मॉडेल प्रशिक्षित करण्यासाठी आम्ही मॅन्युअली तयार केलेल्या CodeQL क्वेरींमधील उदाहरणे वापरतो.
साधन चार सर्वात सामान्य भेद्यता शोधण्यासाठी डिझाइन केले आहे जे या दोन भाषांमध्ये लिहिलेल्या प्रकल्पांवर परिणाम करतात: क्रॉस-साइट स्क्रिप्टिंग (XSS), रूट इंजेक्शन, NoSQL इंजेक्शन आणि SQL इंजेक्शन.
कोड स्कॅनिंग सेवा तुम्हाला संभाव्य समस्यांसाठी प्रत्येक गिट पुश ऑपरेशन स्कॅन करून विकासाच्या सुरुवातीच्या टप्प्यावर भेद्यता शोधण्याची परवानगी देते.
परिणाम थेट पुल विनंतीशी संलग्न आहे. पूर्वी, चेक कोडक्यूएल इंजिन वापरून केले गेले होते, जे असुरक्षित कोडच्या विशिष्ट उदाहरणांसह पॅटर्नचे विश्लेषण करते (कोडक्यूएल तुम्हाला इतर प्रकल्पांच्या कोडमध्ये समान भेद्यतेची उपस्थिती शोधण्यासाठी असुरक्षित कोडचे टेम्पलेट तयार करण्यास अनुमती देते).
नवीन विश्लेषण क्षमतांसह, कोड स्कॅनिंग चार सामान्य असुरक्षा पॅटर्नसाठी आणखी अलर्ट तयार करू शकते: क्रॉस-साइट स्क्रिप्टिंग (XSS), पाथ इंजेक्शन, NoSQL इंजेक्शन आणि SQL इंजेक्शन. एकत्रितपणे, हे चार भेद्यतेचे प्रकार JavaScript/TypeScript इकोसिस्टममधील अलीकडील अनेक असुरक्षा (CVEs) दर्शवतात आणि विकास प्रक्रियेच्या सुरुवातीच्या काळात अशा असुरक्षा शोधण्यासाठी कोड स्कॅनिंगची क्षमता सुधारणे हे विकसकांना अधिक सुरक्षित कोड लिहिण्यास मदत करण्यासाठी महत्त्वाचे आहे.
नवीन मशीन लर्निंग इंजिन पूर्वीच्या अज्ञात असुरक्षा ओळखू शकतात कारण ते कोड पॅटर्नच्या पुनरावृत्तीशी जोडलेले नाही जे विशिष्ट भेद्यतेचे वर्णन करतात. अशा संधीची किंमत म्हणजे CodeQL-आधारित चेकच्या तुलनेत खोट्या धनाच्या संख्येत झालेली वाढ.
शेवटी याबद्दल अधिक जाणून घेण्यास इच्छुक असलेल्यांसाठी, आपण तपशील तपासू शकता पुढील लिंकवर
तसेच हे नमूद करणे महत्त्वाचे आहे की चाचणी टप्प्यात, नवीन कार्यक्षमता सध्या फक्त JavaScript आणि TypeScript कोड असलेल्या भांडारांसाठी उपलब्ध आहे.