Dostawca usług hostingowych oprogramowania, GitHub, udostępnił nową eksperymentalną funkcję, która ma na celu jak najszybsze usunięcie niektórych z najczęstszych luk w zabezpieczeniach kodu w środowisku produkcyjnym.

Nowy automatyczny skaner jest oparty na uczeniu maszynowym (ML), które skanuje przychodzący kod, napisany w TypeScript i JavaScript, pod kątem czterech typowych luk w zabezpieczeniach: cross-site scripting (XSS), route injection, NoSQL i SQL injection. ryzyko. nadużywania złośliwego oprogramowania.

Ta funkcja jest teraz w publicznej wersji beta dla obu wyżej wymienionych języków programowania.

bezpieczniejszy kod

Nowe eksperymentalne skanowanie JavaScript i TypeScript jest udostępniane wszystkim użytkownikom pakietów Extended Security Scanning i Code Scanning Security and Quality - wyjaśnili Tiferet Gazit i Alona Hlobina z GitHub.

„Łącznie te cztery typy luk reprezentują wiele ostatnich luk (CVE) w ekosystemie JavaScript/TypeScript, a poprawa zdolności analizy kodu do wykrywania tych luk na wczesnym etapie procesu rozwoju jest niezbędna, aby pomóc programistom w pisaniu bezpieczniejszego kodu” dodano parę.

Jeśli przesłany kod zawiera którąkolwiek z wyżej wymienionych luk, alert zostanie wyświetlony w zakładce Bezpieczeństwo repozytorium. Alerty te będą oznaczone jako „Eksperymentalne” i będą również dostępne na karcie żądania ściągnięcia.

Zautomatyzuj wszystko

Oczywiście nie oznacza to, że programiści powinni przestać szukać luk w zabezpieczeniach, ponieważ wiele z nich prawdopodobnie przejdzie przez skaner i zostanie wykorzystanych na podatnych punktach końcowych.

GitHub ostatnio ciężko pracował, ponieważ stara się zautomatyzować jak najwięcej pracy dla swoich użytkowników. Oprócz zautomatyzowania wykrywania defektów dodano funkcję, która wirtualnie napisze kod za Ciebie, a także inną, która pomoże programistom łatwiej znaleźć Twój kod.

System pisania o nazwie GitHub Copilot został przeszkolony na miliardach wierszy kodu dostępnych w publicznych repozytoriach, w tym w GitHub. Microsoft i GitHub opracowali Copilot z OpenAI, start-upem badawczym AI, w który Microsoft zainwestował od 2019 roku.

Przez: BleepingComputer

Udostępnij to