GitHub a fost dezvăluit cu câteva zile în urmă adăugarea de un sistem de învățare automată experimenteazăl la serviciul de scanare a codurilor pentru a identifica tipurile comune de vulnerabilități În cod. Prin aceasta, tehnologia GitHub de analiză a codului bazată pe CodeQL a fost reînnoită și acum utilizează învățarea automată (ML) pentru a găsi potențiale vulnerabilități de securitate în cod.
Și acesta este GitHub a achiziționat tehnologia pentru CodeQL ca parte a achiziției Semmie. CodeQL este folosit de echipele de cercetare de securitate pentru a efectua analize semantice a codului, iar GitHub l-a făcut open source.
Cu aceste modele, CodeQL poate identifica mai multe fluxuri de date ale utilizatorilor care nu sunt de încredere și, prin urmare, mai multe vulnerabilități potențiale de securitate.
Se observă că utilizarea unui sistem de învățare automată a făcut posibilă extinderea semnificativă a gamei de probleme identificate, în a căror analiză sistemul nu se limitează acum la verificarea tiparelor tipice și nu este legat de cadre cunoscute.
Dintre problemele identificate de noul sistem, sunt menționate erori care duc la cross-site scripting (XSS), distorsiuni ale căilor fișierelor (de exemplu, prin indicația „/..”), înlocuirea interogărilor SQL și NoSQL. .
Scanarea codului poate găsi acum mai multe vulnerabilități potențiale de securitate prin folosirea unui nou model de deep learning. Această funcție experimentală este disponibilă în beta publică pentru depozitele JavaScript și TypeScript de pe GitHub.com.
Noul instrument GitHub fue a fost lansat ca versiune beta publică gratuită Pentru toți utilizatorii, caracteristica folosește învățarea automată și învățarea profundă pentru a scana bazele de cod și pentru a identifica vulnerabilitățile comune de securitate înainte ca un produs să fie livrat.
Funcția experimentală este disponibilă în prezent pentru toți utilizatorii platformei, inclusiv utilizatorii GitHub Enterprise ca o funcție de securitate avansată GitHub și poate fi utilizată pentru proiecte scrise în JavaScript sau TypeScript.
Odată cu evoluția rapidă a ecosistemului open source, există o coadă lungă din ce în ce mai mare de biblioteci care sunt utilizate mai rar. Folosim exemple din interogări CodeQL create manual pentru a antrena modele de învățare profundă pentru a recunoaște bibliotecile open source, precum și bibliotecile cu sursă închisă dezvoltate intern.
Instrumentul este conceput pentru a căuta cele mai comune patru vulnerabilități care afectează proiectele scrise în aceste două limbi: cross-site scripting (XSS), injectare rută, injectare NoSQL și injectare SQL.
Serviciul de scanare a codului vă permite să detectați vulnerabilități într-un stadiu incipient de dezvoltare prin scanarea fiecărei operațiuni git push pentru probleme potențiale.
Rezultatul este atașat direct la cererea de tragere. Anterior, verificarea se făcea folosind motorul CodeQL, care analizează modele cu exemple tipice de cod vulnerabil (CodeQL vă permite să generați un șablon de cod vulnerabil pentru a detecta prezența unei vulnerabilități similare în codul altor proiecte).
Cu noile capabilități de analiză, Code Scanning poate genera și mai multe alerte pentru patru modele comune de vulnerabilitate: Cross-Site Scripting (XSS), Path Injection, NoSQL Injection și SQL Injection. Împreună, aceste patru tipuri de vulnerabilități reprezintă multe dintre vulnerabilitățile recente (CVE) din ecosistemul JavaScript/TypeScript, iar îmbunătățirea capacității de scanare a codului de a detecta astfel de vulnerabilități la începutul procesului de dezvoltare este cheia pentru a ajuta dezvoltatorii să scrie cod mai sigur.
Noul motor de învățare automată poate identifica vulnerabilități necunoscute anterior deoarece nu este legat de iterarea modelelor de cod care descriu vulnerabilități specifice. Prețul unei astfel de oportunități este o creștere a numărului de fals pozitive în comparație cu verificările bazate pe CodeQL.
În cele din urmă pentru cei interesați să afle mai multe despre asta, puteți verifica detaliile În următorul link.
De asemenea, este important de menționat că în etapa de testare, noua funcționalitate este disponibilă momentan doar pentru depozitele cu cod JavaScript și TypeScript.