Найти в Дзене
CyberSec News
10 подписчиков

GitHub внедрил ИИ для поиска уязвимостей

2
2 мин
На ресурсе GitHub Blog рассказали о внедрении новых функций анализа сканирования кода на основе машинного обучения. Экспериментальный анализ находит больше наиболее распространенных типов уязвимостей. Экспериментальная функция доступна в общедоступной бета-версии для репозиториев JavaScript и TypeScript на GitHub.com. Благодаря новым возможностям анализа сканирование кода может выявлять еще больше предупреждений о четырех распространенных шаблонах уязвимостей: межсайтовый скриптинг (XSS), внедрение пути, внедрение NoSQL и внедрение SQL. Вместе эти четыре типа уязвимостей составляют множество последних уязвимостей (CVE) в экосистеме JavaScript/TypeScript, и улучшают механизмы сканирования кода в обнаружении таких уязвимостей. На ранних этапах процесса разработки такие механизмы очень важны и помогают разработчикам писать более безопасный код. Как это работает? Сканирование кода GitHub осуществляется с помощью механизма анализа CodeQL. Он выполняет запросы к вашей кодовой базе. Каждый за
Оглавление
https://microsoftportal.net/uploads/posts/2021-03/1616520742_github.jpg
https://microsoftportal.net/uploads/posts/2021-03/1616520742_github.jpg

На ресурсе GitHub Blog рассказали о внедрении новых функций анализа сканирования кода на основе машинного обучения. Экспериментальный анализ находит больше наиболее распространенных типов уязвимостей.

Экспериментальная функция доступна в общедоступной бета-версии для репозиториев JavaScript и TypeScript на GitHub.com. Благодаря новым возможностям анализа сканирование кода может выявлять еще больше предупреждений о четырех распространенных шаблонах уязвимостей: межсайтовый скриптинг (XSS), внедрение пути, внедрение NoSQL и внедрение SQL. Вместе эти четыре типа уязвимостей составляют множество последних уязвимостей (CVE) в экосистеме JavaScript/TypeScript, и улучшают механизмы сканирования кода в обнаружении таких уязвимостей. На ранних этапах процесса разработки такие механизмы очень важны и помогают разработчикам писать более безопасный код.

Как это работает?

Сканирование кода GitHub осуществляется с помощью механизма анализа CodeQL. Он выполняет запросы к вашей кодовой базе. Каждый запрос тщательно разработан, чтобы распознать как можно больше вариантов определенного типа уязвимости и обеспечить широкий охват Common Weakness Enumeration (CWE). Запросы постоянно обновляются для распознавания новых библиотек и фреймворков.

Как использовать?

Данный механизм доступен всем пользователям наборов для сканирования security-extended и security-and-quality анализа кода . Если используется один из этих пакетов, код будет проанализирован с использованием новой технологии машинного обучения.

Если используется сканирование кода, но еще не используется ни один из этих наборов, можно включить новый экспериментальный анализ , изменив файл конфигурации рабочего процесса сканирования кода следующим образом:

[...]

- uses: github/codeql-action/init@v1
with:
queries: +security-extended
[...]

Если механизмы сканирования кода не освоены, следуйте этим инструкциям , чтобы настроить анализ кода JavaScript/TypeScript. В процессе установки вы можете сконфигурировать описанные выше наборы security-extended или пакеты анализа security-and-quality.

Если новый экспериментальный анализ обнаружит дополнительные результаты, вы увидите новые оповещения, отображаемые вместе с другими оповещениями о сканировании кода на вкладке «Безопасность» вашего репозитория.

https://github.blog/wp-content/uploads/2022/02/experimental-label-alerts.png?resize=1024%2C451?w=1227
https://github.blog/wp-content/uploads/2022/02/experimental-label-alerts.png?resize=1024%2C451?w=1227

При это стоит не забывать, что это новый механизм и не отработан до конца, возможно как появление ложных срабатываний так и пропуск событий.

Подписывайтесь на канал и оставайтесь в курсе событий последних новостей из области IT и кибербезопасности.

#технологии #кибербезопасность #github #программирование