GitHub uruchamia program do analizy kodu w celu śledzenia luk w zabezpieczeniach

GitHub uruchamia program do analizy kodu w celu śledzenia luk w zabezpieczeniach

Dostawca usług hostingu oprogramowania, GitHub, udostępnił nową eksperymentalną funkcję, której celem jest jak najszybsze usunięcie niektórych z najczęstszych luk w zabezpieczeniach kodu w środowisku produkcyjnym.

Nowy automatyczny skaner jest zasilany przez uczenie maszynowe (ML), które skanuje przychodzący kod, napisany w TypeScript i JavaScript, pod kątem czterech typowych luk w zabezpieczeniach: Cross-Site Scripting (XSS), Path Injection, NoSQL Injection i SQL Injection, co zmniejsza ryzyko. nadużyć złośliwego oprogramowania.

Ta funkcja jest teraz w publicznej wersji beta dla dwóch wyżej wymienionych języków programowania.

bezpieczniejszy kod

Nowe eksperymentalne skanowanie JavaScript i TypeScript jest udostępniane wszystkim użytkownikom pakietów Extended Security Scanning i Code Scanning Security and Quality, wyjaśnili Tiferet Gazit i Alona Hlobina z GitHub.

„Razem te cztery rodzaje luk reprezentują wiele ostatnich luk w zabezpieczeniach (CVE) w ekosystemie JavaScript/TypeScript, a poprawa zdolności analizy kodu do wykrywania tych luk na wczesnym etapie procesu programowania jest niezbędna, aby pomóc programistom w pisaniu bezpieczniejszego kodu”, para dodany.

Jeśli przesłany kod zawiera którąkolwiek z wyżej wymienionych luk, w zakładce Bezpieczeństwo repozytorium zostanie wyświetlony alert. Te alerty będą oznaczone jako „Eksperymentalne” i będą również dostępne na karcie żądań ściągnięcia.

zautomatyzować wszystko

Oczywiście nie oznacza to, że programiści powinni przestać szukać luk w zabezpieczeniach, ponieważ wiele z nich prawdopodobnie przejdzie przez skaner i skończy się nadużyciami na wrażliwych punktach końcowych.

GitHub ostatnio ciężko pracował, starając się zautomatyzować jak najwięcej pracy dla swoich użytkowników. Oprócz automatyzacji wykrywania defektów, dodano funkcję, która wirtualnie napisze kod za Ciebie, a także taką, która pomoże programistom łatwiej znaleźć Twój kod.

Skrypt o nazwie GitHub Copilot trenował na miliardach linii kodu dostępnych w publicznych repozytoriach, w tym na GitHubie. Microsoft i GitHub opracowali Copilot z OpenAI, startupem badawczym zajmującym się sztuczną inteligencją, w który Microsoft inwestuje od 2019 roku.

Przez: BleepingComputer