GitHub onthuld enkele dagen geleden de toevoeging van experimenten met een machine learning-systeeml om scanservice te coderen om veelvoorkomende soorten kwetsbaarheden te identificeren In de code. Hiermee is de op CodeQL gebaseerde code-analysetechnologie van GitHub vernieuwd en maakt nu gebruik van machine learning (ML) om mogelijke beveiligingsproblemen in code te vinden.
En het is dat GitHub verwierf de technologie voor CodeQL als onderdeel van de overname van Semimie. CodeQL wordt gebruikt door beveiligingsonderzoeksteams om semantische analyse van code uit te voeren, en GitHub heeft het open source gemaakt.
Met deze modellen kan CodeQL meer niet-vertrouwde gegevensstromen van gebruikers identificeren en dus meer potentiële beveiligingsproblemen.
Opgemerkt wordt dat het gebruik van een machine learning-systeem het mogelijk heeft gemaakt om het scala aan geïdentificeerde problemen aanzienlijk uit te breiden, in wiens analyse het systeem nu niet beperkt is tot het verifiëren van typische patronen en niet gebonden is aan bekende kaders.
Van de problemen die door het nieuwe systeem worden geïdentificeerd, worden fouten genoemd die leiden tot cross-site scripting (XSS), vervorming van bestandspaden (bijvoorbeeld door de aanduiding "/.."), vervanging van SQL- en NoSQL-query's.
Het scannen van codes kan nu meer potentiële beveiligingskwetsbaarheden vinden door gebruik te maken van een nieuw deep learning-model. Deze experimentele functie is beschikbaar in openbare bèta voor JavaScript- en TypeScript-opslagplaatsen op GitHub.com.
GitHub's nieuwe tool fue uitgebracht als een gratis openbare bèta Voor alle gebruikers maakt de functie gebruik van machine learning en deep learning om codebases te scannen en veelvoorkomende beveiligingsproblemen te identificeren voordat een product wordt verzonden.
De experimentele functie is momenteel beschikbaar voor alle platformgebruikers, inclusief GitHub Enterprise-gebruikers als GitHub Advanced Security Feature, en kan worden gebruikt voor projecten die zijn geschreven in JavaScript of TypeScript.
Met de snelle evolutie van het open source-ecosysteem, is er een steeds groter wordende lange staart van bibliotheken die minder vaak worden gebruikt. We gebruiken voorbeelden van handmatig gemaakte CodeQL-query's om deep learning-modellen te trainen om zowel open source-bibliotheken als intern ontwikkelde closed source-bibliotheken te herkennen.
De tool is ontworpen om te zoeken naar de vier meest voorkomende kwetsbaarheden die van invloed zijn op projecten die in deze twee talen zijn geschreven: cross-site scripting (XSS), route-injectie, NoSQL-injectie en SQL-injectie.
Met de codescanservice kun je kwetsbaarheden in een vroeg ontwikkelingsstadium detecteren door elke Git Push-bewerking te scannen op mogelijke problemen.
Het resultaat wordt direct aan het pull-verzoek toegevoegd. Voorheen werd de controle uitgevoerd met behulp van de CodeQL-engine, die patronen analyseert met typische voorbeelden van kwetsbare code (CodeQL stelt u in staat een sjabloon van kwetsbare code te genereren om de aanwezigheid van een vergelijkbare kwetsbaarheid in de code van andere projecten te detecteren).
Met nieuwe analysemogelijkheden kan Code Scanning nog meer waarschuwingen genereren voor vier veelvoorkomende kwetsbaarheidspatronen: Cross-Site Scripting (XSS), Path Injection, NoSQL Injection en SQL Injection. Samen vertegenwoordigen deze vier typen kwetsbaarheden veel van de recente kwetsbaarheden (CVE's) in het JavaScript/TypeScript-ecosysteem, en het verbeteren van het vermogen van codescanning om dergelijke kwetsbaarheden vroeg in het ontwikkelingsproces te detecteren, is essentieel om ontwikkelaars te helpen veiligere code te schrijven.
De nieuwe machine learning-engine kan voorheen onbekende kwetsbaarheden identificeren omdat het niet gebonden is aan de iteratie van codepatronen die specifieke kwetsbaarheden beschrijven. De prijs van een dergelijke kans is een toename van het aantal valse positieven in vergelijking met op CodeQL gebaseerde controles.
Eindelijk voor diegenen die er meer over willen weten, kunt u de details controleren In de volgende link.
Het is ook belangrijk om te vermelden dat de nieuwe functionaliteit in de testfase momenteel alleen beschikbaar is voor repositories met JavaScript- en TypeScript-code.