GitHub odhalený pred niekoľkými dňami pridanie experimenty so systémom strojového učenial na službu skenovania kódu identifikovať bežné typy zraniteľností V kóde. Vďaka tomu bola prepracovaná technológia analýzy kódu založená na CodeQL na GitHub a teraz využíva strojové učenie (ML) na nájdenie potenciálnych bezpečnostných zraniteľností v kóde.
A to je GitHub získala technológiu pre CodeQL v rámci akvizície Semmie. CodeQL používajú bezpečnostné výskumné tímy na vykonávanie sémantickej analýzy kódu a GitHub z neho urobil open source.
Pomocou týchto modelov dokáže CodeQL identifikovať viac nedôveryhodných používateľských dátových tokov, a teda aj viac potenciálnych bezpečnostných zraniteľností.
Je pozorované, že použitie systému strojového učenia umožnilo výrazne rozšíriť rozsah identifikovaných problémov, pri ktorých analýze sa systém teraz neobmedzuje na overovanie typických vzorov a nie je viazaný na známe rámce.
Z problémov identifikovaných novým systémom sú spomenuté chyby vedúce k cross-site scriptingu (XSS), skreslenie ciest k súborom (napríklad prostredníctvom označenia "/.."), zámena SQL a NoSQL dotazov.
Skenovanie kódu teraz dokáže nájsť viac potenciálnych bezpečnostných zraniteľností pomocou nového modelu hlbokého učenia. Táto experimentálna funkcia je dostupná vo verejnej beta verzii pre repozitáre JavaScript a TypeScript na GitHub.com.
Nový nástroj GitHub fue vydaný ako bezplatná verejná beta Pre všetkých používateľov táto funkcia využíva strojové učenie a hlboké učenie na skenovanie kódových báz a identifikáciu bežných bezpečnostných slabín pred odoslaním produktu.
Experimentálna funkcia je v súčasnosti dostupná pre všetkých používateľov platformy vrátane používateľov GitHub Enterprise ako pokročilá bezpečnostná funkcia GitHub a možno ju použiť pre projekty napísané v JavaScripte alebo TypeScripte.
S rýchlym vývojom ekosystému s otvoreným zdrojovým kódom existuje stále väčší dlhý chvost knižníc, ktoré sa používajú menej často. Príklady z manuálne vytvorených dopytov CodeQL používame na trénovanie modelov hlbokého učenia na rozpoznávanie knižníc s otvoreným zdrojovým kódom, ako aj interne vyvinutých uzavretých zdrojových knižníc.
Nástroj je navrhnutý tak, aby hľadal štyri najbežnejšie zraniteľnosti ktoré ovplyvňujú projekty napísané v týchto dvoch jazykoch: cross-site scripting (XSS), vloženie trasy, injekcia NoSQL a injekcia SQL.
Služba skenovania kódu vám umožňuje odhaliť zraniteľné miesta v ranom štádiu vývoja skenovaním každej operácie git push, či neobsahuje potenciálne problémy.
Výsledok je pripojený priamo k žiadosti o stiahnutie. Predtým sa kontrola vykonávala pomocou motora CodeQL, ktorý analyzuje vzory s typickými príkladmi zraniteľného kódu (CodeQL vám umožňuje vygenerovať šablónu zraniteľného kódu na zistenie prítomnosti podobnej zraniteľnosti v kóde iných projektov).
S novými schopnosťami analýzy môže Code Scanning generovať ešte viac upozornení na štyri bežné vzory zraniteľnosti: Cross-Site Scripting (XSS), Path Injection, NoSQL Injection a SQL Injection. Tieto štyri typy zraniteľností spolu predstavujú mnohé z nedávnych zraniteľností (CVE) v ekosystéme JavaScript/TypeScript a zlepšenie schopnosti skenovania kódu na detekciu takýchto zraniteľností na začiatku procesu vývoja je kľúčom k tomu, aby vývojári mohli písať bezpečnejší kód.
Nový motor strojového učenia dokáže identifikovať predtým neznáme zraniteľnosti pretože nie je viazaný na opakovanie vzorov kódu, ktoré popisujú konkrétne zraniteľnosti. Cenou takejto príležitosti je zvýšenie počtu falošne pozitívnych výsledkov v porovnaní s kontrolami založenými na CodeQL.
Konečne pre tých, ktorí majú záujem dozvedieť sa viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.
Je tiež dôležité spomenúť, že v štádiu testovania je nová funkcionalita momentálne dostupná len pre úložiská s kódom JavaScript a TypeScript.