GitHub ayaa daaha laga rogay dhowr maalmood ka hor ayaa lagu daray tijaabada nidaamka barashada mashiinkal si loo codeeyo adeegga sawirka si loo ogaado noocyada dayacan ee caadiga ah In code. Tan, GitHub's CodeQL tignoolajiyada falanqaynta koodhka ku salaysan ayaa dib loo habeeyey oo hadda waxay isticmaashaa barashada mashiinka (ML) si loo helo dayacanka amniga ee koodka.
Oo waa GitHub u helay tignoolajiyada CodeQL iyada oo qayb ka ah helitaanka Semie. CodeQL waxaa isticmaala kooxaha cilmi-baarista amniga si ay u sameeyaan falanqaynta koodka, GitHubna waxay ka dhigtay il furan.
Moodooyinkan, CodeQL waxay aqoonsan kartaa ilo xog isticmaale oo badan oo aan la aamini karin sidaas darteed baylahda amniga ee suurtagalka ah.
Waxaa la arkay in isticmaalka nidaamka barashada mishiinku uu suurtageliyay in si weyn loo ballaariyo dhibaatooyinka la aqoonsaday, kuwaas oo falanqayntooda nidaamku aanu hadda ku koobnayn xaqiijinta qaababka caadiga ah oo aan ku xidhnayn qaabab la yaqaan.
Dhibaatooyinka lagu aqoonsaday nidaamka cusub, khaladaadka u horseedaya isku dhafka qoraalka (XSS), qalloocinta waddooyinka faylka (tusaale ahaan, iyada oo loo marayo tilmaanta "/ ..."), beddelka SQL iyo NoSQL weydiimaha ayaa lagu sheegay.
Sawirka koodka ayaa hadda heli kara dayacanka amniga ee suurtagalka ah iyadoo la adeegsanayo qaab cusub oo barasho qoto dheer. Sifadan tijaabada ah ayaa laga heli karaa beta guud ee JavaScript iyo meelaha lagu kaydiyo TypeScript ee GitHub.com.
Qalabka cusub ee GitHub fue loo siidaayay sidii beta dadwaynaha oo bilaash ah Dhammaan isticmaalayaasha, sifadu waxay isticmaashaa barashada mashiinka iyo barasho qoto dheer si ay u sawirto saldhigyada koodka oo ay u aqoonsato dayacanka amniga ka hor inta aan badeecada la rarin.
Habka tijaabada ah ayaa hadda diyaar u ah dhammaan isticmaalayaasha madal, oo ay ku jiraan isticmaalayaasha GitHub Enterprise sida GitHub Advanced Security Feature, waxaana loo isticmaali karaa mashaariicda ku qoran JavaScript ama TypeScript.
Horumarka degdega ah ee nidaamka deegaanka isha furan, waxa jira dabada dheer ee maktabadaha oo sii kordheysa oo si yar loo isticmaalo. Waxaan isticmaalnaa tusaalooyin ka yimid codsiyada CodeQL ee gacanta loo sameeyay si aan u tababarno moodooyinka barasho qoto dheer si loo aqoonsado maktabadaha isha furan iyo sidoo kale gudaha la horumariyay maktabadaha il-xiran.
Qalabka waxaa loogu talagalay in lagu raadiyo afarta nugul ee ugu caansan kuwaas oo saameeya mashaariicda ku qoran labadan luqadood: qorida iskutallaabta (XSS), duritaanka dariiqa, duritaanka NoSQL iyo duritaanka SQL.
Adeegga iskaanka koodhka wuxuu kuu ogolaanayaa inaad ogaato dayacanka marxaladda hore ee horumarka adiga oo sawiraya hawlgal kasta oo riixaya git arrimaha suurtagalka ah.
Natiijadu waxay si toos ah ugu xidhan tahay codsiga jiidista. Markii hore, jeegga waxaa lagu sameeyay iyadoo la adeegsanayo mashiinka CodeQL, kaas oo falanqeynaya qaababka leh tusaalooyinka caadiga ah ee koodka nugul (CodeQL wuxuu kuu ogolaanayaa inaad abuurto template code nuglaanta si loo ogaado jiritaanka nuglaanta la midka ah ee code ee mashaariicda kale).
Awoodaha falanqaynta cusub, Baadhitaanka Koodhka ayaa dhalin kara xitaa digniino dheeraad ah oo loogu talagalay afar hab oo u nuglaansanaan caadi ah: Qoraal-Isdhaafsi-Goboleedka (XSS), Duridda Jidka, Duridda NoSQL, iyo Duridda SQL. Si wada jir ah, afartan nooc ee nuglaanshaha waxay ka dhigan yihiin qaar badan oo ka mid ah dayacanka dhow (CVEs) ee ku jira JavaScript/TypeScript ecosystem, iyo hagaajinta awoodda koodhka si loo ogaado dayacanka noocan oo kale ah horaantii habka horumarinta ayaa fure u ah caawinta horumariyeyaasha inay qoraan kood ammaan badan.
Mashiinka barashada mashiinka cusub waxay garan karaan baylahda aan hore loo aqoon sababtoo ah kuma xidhna soo noqnoqoshada hababka koodka ee qeexaya dayacanka gaarka ah. Qiimaha fursada noocan oo kale ah waa korodhka tirada been-abuurka ah marka loo eego jeegaga ku salaysan CodeQL.
Finalmente kuwa doonaya inay wax badan ka ogaadaan, waxaad eegi kartaa faahfaahinta Xiriirka soo socda.
Waxa kale oo muhiim ah in la sheego in marxaladda tijaabada, shaqeynta cusub ay hadda diyaar u tahay oo kaliya kaydinta JavaScript iyo koodka TypeScript.