GitHub ma narzędzie do skanowania kodu pod kątem bezpieczeństwa oparte na AI

Znane repozytorium oprogramowania GitHub uruchomiło funkcję analizy skanowania kodu zamieszczanego tam oprogramowania, opartą na uczeniu maszynowym, która ma na celu usunięcie typowych luk w zabezpieczeniach, zanim kod zostanie przeniesiony do produkcji. Skaner wykrywa wzorce typu: cross-site scripting (XSS), path injection, NoSQL injection oraz SQL injection. Funkcja jest już dostępna w publicznej wersji beta.

Jak czytamy na blogu firmowym GutHuba: "łącznie, te cztery typy podatności odpowiadają za wiele z odkrytych ostatnio luk (CVEs) w ekosystemie JavaScript/TypeScript, a poprawa zdolności skanowania kodu do wykrywania takich podatności na wczesnym etapie procesu rozwoju jest kluczem do pomocy programistom w pisaniu bezpieczniejszego kodu".

Skaner kodu wykorzystuje silnik analityczny CodeQL. Zapytania zostały napisane przez członków społeczności i ekspertów ds. bezpieczeństwa GitHuba. Jeśli jakaś luka zostanie wykryta, w zakładce Bezpieczeństwo pojawi się alert. Alerty te będą miały etykietę "Experimental" i będą również widoczne w zakładce Pull Requests. Założenie jest takie, że mechanizm będzie się z czasem doskonalił i uczył nowych wzorców podatności.

Źrodło: analyticsindiamag.com

Mirosław Usidus