குறியீட்டில் உள்ள பாதிப்புகளைக் கண்டறிய கிட்ஹப் ஒரு இயந்திர கற்றல் அமைப்பை அறிமுகப்படுத்தியது

Darkcriztபுதுப்பிக்கப்பட்டது

கருத்துகள் இல்லை

கிட்ஹப் லோகோ

GitHub வெளியிட்டது பல நாட்களுக்கு முன்பு கூடுதலாக ஒரு இயந்திர கற்றல் அமைப்பு சோதனைகள்குறியீடு ஸ்கேனிங் சேவைக்கு பொதுவான வகை பாதிப்புகளை அடையாளம் காண குறியீட்டில். இதனுடன், GitHub இன் CodeQL அடிப்படையிலான குறியீடு பகுப்பாய்வு தொழில்நுட்பம் புதுப்பிக்கப்பட்டு, குறியீட்டில் சாத்தியமான பாதுகாப்பு பாதிப்புகளைக் கண்டறிய இயந்திர கற்றலை (ML) பயன்படுத்துகிறது.

அதுதான் கிட்ஹப் CodeQLக்கான தொழில்நுட்பத்தைப் பெற்றது செம்மி கையகப்படுத்துதலின் ஒரு பகுதியாக. குறியீட்டின் சொற்பொருள் பகுப்பாய்வு செய்ய, பாதுகாப்பு ஆராய்ச்சி குழுக்களால் CodeQL பயன்படுத்தப்படுகிறது, மேலும் GitHub அதை திறந்த மூலமாக்கியது.

இந்த மாதிரிகள் மூலம், CodeQL அதிக நம்பத்தகாத பயனர் தரவு ஸ்ட்ரீம்களை அடையாளம் காண முடியும், எனவே அதிக சாத்தியமான பாதுகாப்பு பாதிப்புகள்.

இயந்திர கற்றல் அமைப்பின் பயன்பாடு, அடையாளம் காணப்பட்ட சிக்கல்களின் வரம்பை கணிசமாக விரிவுபடுத்துவதை சாத்தியமாக்கியுள்ளது, அதன் பகுப்பாய்வில் கணினி இப்போது வழக்கமான வடிவங்களை சரிபார்ப்பதோடு மட்டுப்படுத்தப்படவில்லை மற்றும் அறியப்பட்ட கட்டமைப்போடு பிணைக்கப்படவில்லை.

புதிய அமைப்பால் கண்டறியப்பட்ட சிக்கல்களில், குறுக்கு-தள ஸ்கிரிப்டிங்கிற்கு (XSS), கோப்பு பாதைகளின் சிதைவுக்கு வழிவகுக்கும் பிழைகள் (எடுத்துக்காட்டாக, "/.." குறிப்பால்), SQL மற்றும் NoSQL வினவல்களை மாற்றுதல் ஆகியவை குறிப்பிடப்பட்டுள்ளன.

குறியீடு ஸ்கேனிங் இப்போது புதிய ஆழமான கற்றல் மாதிரியைப் பயன்படுத்துவதன் மூலம் அதிக சாத்தியமான பாதுகாப்பு பாதிப்புகளைக் கண்டறியலாம். இந்த சோதனை அம்சம் GitHub.com இல் JavaScript மற்றும் TypeScript களஞ்சியங்களுக்கான பொது பீட்டாவில் கிடைக்கிறது.

GitHub இன் புதிய கருவி fue இலவச பொது பீட்டாவாக வெளியிடப்பட்டது அனைத்து பயனர்களுக்கும், இந்த அம்சமானது, ஒரு தயாரிப்பு அனுப்பப்படும் முன், குறியீட்டு அடிப்படைகளை ஸ்கேன் செய்யவும், பொதுவான பாதுகாப்பு பாதிப்புகளைக் கண்டறியவும் இயந்திர கற்றல் மற்றும் ஆழமான கற்றலைப் பயன்படுத்துகிறது.

GitHub மேம்பட்ட பாதுகாப்பு அம்சமாக GitHub Enterprise பயனர்கள் உட்பட அனைத்து இயங்குதளப் பயனர்களுக்கும் தற்போது சோதனை அம்சம் கிடைக்கிறது, மேலும் JavaScript அல்லது TypeScript இல் எழுதப்பட்ட திட்டப்பணிகளுக்குப் பயன்படுத்தலாம்.

திறந்த மூல சுற்றுச்சூழலின் விரைவான பரிணாம வளர்ச்சியுடன், குறைவாக அடிக்கடி பயன்படுத்தப்படும் நூலகங்களின் நீண்ட வால் எப்போதும் அதிகரித்து வருகிறது. திறந்த மூல நூலகங்கள் மற்றும் உள்நாட்டில் உருவாக்கப்பட்ட மூடிய மூல நூலகங்களை அடையாளம் காண ஆழ்ந்த கற்றல் மாதிரிகளைப் பயிற்றுவிப்பதற்கு, கைமுறையாக உருவாக்கப்பட்ட CodeQL வினவல்களிலிருந்து எடுத்துக்காட்டுகளைப் பயன்படுத்துகிறோம்.

கருவி நான்கு பொதுவான பாதிப்புகளைக் கண்டறிய வடிவமைக்கப்பட்டுள்ளது இந்த இரண்டு மொழிகளில் எழுதப்பட்ட திட்டங்களை பாதிக்கும்: குறுக்கு-தள ஸ்கிரிப்டிங் (XSS), வழி ஊசி, NoSQL ஊசி மற்றும் SQL ஊசி.

குறியீடு ஸ்கேனிங் சேவையானது, சாத்தியமான சிக்கல்களுக்கு ஒவ்வொரு கிட் புஷ் செயல்பாட்டையும் ஸ்கேன் செய்வதன் மூலம் வளர்ச்சியின் ஆரம்ப கட்டத்தில் பாதிப்புகளைக் கண்டறிய உங்களை அனுமதிக்கிறது.

முடிவு நேரடியாக இழுக்கும் கோரிக்கையுடன் இணைக்கப்பட்டுள்ளது. முன்னதாக, CodeQL இன்ஜினைப் பயன்படுத்தி சோதனை செய்யப்பட்டது, இது பாதிக்கப்படக்கூடிய குறியீட்டின் பொதுவான எடுத்துக்காட்டுகளுடன் வடிவங்களை பகுப்பாய்வு செய்கிறது (CodeQL மற்ற திட்டங்களின் குறியீட்டில் இதேபோன்ற பாதிப்பு இருப்பதைக் கண்டறிய, பாதிக்கப்படக்கூடிய குறியீட்டின் டெம்ப்ளேட்டை உருவாக்க உங்களை அனுமதிக்கிறது).

புதிய பகுப்பாய்வு திறன்களுடன், குறியீடு ஸ்கேனிங் நான்கு பொதுவான பாதிப்பு வடிவங்களுக்கு இன்னும் கூடுதலான விழிப்பூட்டல்களை உருவாக்க முடியும்: கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS), பாதை ஊசி, NoSQL ஊசி மற்றும் SQL ஊசி. ஒன்றாக, இந்த நான்கு பாதிப்பு வகைகளும் ஜாவாஸ்கிரிப்ட்/டைப்ஸ்கிரிப்ட் சுற்றுச்சூழல் அமைப்பில் உள்ள பல சமீபத்திய பாதிப்புகளை (CVEs) பிரதிநிதித்துவப்படுத்துகின்றன, மேலும் வளர்ச்சிச் செயல்பாட்டின் தொடக்கத்தில் இதுபோன்ற பாதிப்புகளைக் கண்டறிய குறியீடு ஸ்கேனிங்கின் திறனை மேம்படுத்துவது டெவலப்பர்கள் மிகவும் பாதுகாப்பான குறியீட்டை எழுத உதவுவதற்கு முக்கியமாகும்.

புதிய இயந்திர கற்றல் இயந்திரம் முன்பின் தெரியாத பாதிப்புகளை அடையாளம் காண முடியும் ஏனெனில் இது குறிப்பிட்ட பாதிப்புகளை விவரிக்கும் குறியீடு வடிவங்களின் மறு செய்கையுடன் பிணைக்கப்படவில்லை. அத்தகைய வாய்ப்பின் விலையானது, CodeQL அடிப்படையிலான காசோலைகளுடன் ஒப்பிடும்போது தவறான நேர்மறைகளின் எண்ணிக்கையில் அதிகரிப்பு ஆகும்.

இறுதியாக இதைப் பற்றி மேலும் அறிய ஆர்வமுள்ளவர்களுக்கு, நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பில்.

சோதனை கட்டத்தில், புதிய செயல்பாடு தற்போது ஜாவாஸ்கிரிப்ட் மற்றும் டைப்ஸ்கிரிப்ட் குறியீட்டைக் கொண்ட களஞ்சியங்களுக்கு மட்டுமே கிடைக்கிறது என்பதைக் குறிப்பிடுவது முக்கியம்.


கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.