Сканирование кода GitHub теперь находит больше уязвимостей в системе безопасности

4
GitHub восстанавливает популярный репозиторий Python, пострадавший от фальшивого DMCA-атаки

Платформа хостинга кода GitHub сегодня запустила новые функции анализа сканирования кода на основе машинного обучения, которые позволят автоматически обнаруживать более распространенные уязвимости безопасности до того, как они попадут в производство.

Эти новые экспериментальные функции статического анализа теперь доступны для репозиториев JavaScript и TypeScript GitHub в публичной бета-версии.

«Благодаря новым возможностям анализа сканирование кода сможет выдавать еще больше предупреждений о четырех распространенных типах уязвимостей: межсайтовый скриптинг (XSS), инъекция пути, инъекция NoSQL и инъекция SQL», — говорят Тиферет Газит и Алона Хлобина из GitHub.

«Вместе эти четыре типа уязвимостей составляют многие из последних уязвимостей (CVE) в экосистеме JavaScript/TypeScript, и улучшение способности сканирования кода обнаруживать такие уязвимости на ранних стадиях процесса разработки является ключевым фактором, помогающим разработчикам писать более безопасный код».

Уязвимости безопасности, обнаруженные с помощью новых экспериментальных функций анализа кода, будут отображаться в виде предупреждений на вкладке «Безопасность» в репозиториях.

Эти новые предупреждения помечаются меткой «Экспериментальный» и будут также доступны на вкладке «Запросы на исправление».

Механизм анализа кода CodeQL, на котором основано сканирование кода GitHub, был добавлен к возможностям платформы после того, как GitHub приобрел платформу анализа кода Semmle в сентябре 2019 года.

GitHub выпустил первую бета-версию сканирования кода на GitHub Satellite в мае 2020 года и объявил о ее общей доступности четыре месяца спустя, в сентябре 2020 года.

В ходе бета-тестирования функция сканирования кода была использована для сканирования более 12 000 репозиториев 1,4 миллиона раз и обнаружила более 20 000 проблем безопасности, включая удаленное выполнение кода (RCE), инъекции SQL и межсайтовый скриптинг (XSS).

Сканирование кода GitHub бесплатно для публичных репозиториев и доступно в качестве функции GitHub Advanced Security для частных репозиториев GitHub Enterprise.

Чтобы настроить анализ кода для вашего кода JavaScript/TypeScript, вы можете следовать этим инструкциям. Новые функции доступны для наборов анализа кода «безопасность-расширенная» и «безопасность-качество».

«Важно отметить, что пока мы продолжаем совершенствовать и тестировать наши модели машинного обучения, этот новый экспериментальный анализ может иметь более высокий процент ложных срабатываний по сравнению с результатами стандартного анализа CodeQL», — добавили Газит и Хлобина.

«Как и в случае с большинством моделей машинного обучения, результаты будут улучшаться со временем».

Последнее обновление 7 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии