GitHub, một nền tảng cộng tác phần mềm, đang sử dụng một công cụ máy học (ML) để cảnh báo các nhà phát triển có thể lỗ hổng bảo mật trong mã của bạn. Công cụ mới cho quét mã có thể tìm thấy nhiều lỗ hổng bảo mật tiềm ẩn hơn và giải quyết các vấn đề lặp lại trong hệ sinh thái JavaScript / TypeScript. Bản beta quét mã mới này có thể tìm thấy nhiều cảnh báo hơn cho bốn mẫu lỗ hổng phổ biến: tập lệnh trang web chéo (XSS), chèn đường dẫn, tiêm NoSQL và chèn SQL.
Bản scan sẽ được cập nhật liên tục
Công cụ phân tích CodeQL chịu trách nhiệm quét mã để xác định có thể lỗ hổng bảo mật và ngăn những kẻ tấn công chạy mã độc trên máy của nạn nhân hoặc chiếm quyền kiểm soát toàn bộ cơ sở dữ liệu.
Để xác định các lỗ hổng bảo mật tiềm ẩn, các nhà phát triển có thể cho phép CodeQL chạy các truy vấn dựa trên codebase của bạn. Các truy vấn nguồn mở này được viết bởi Các thành viên cộng đồng GitHub và các chuyên gia bảo mậtvà mỗi truy vấn được tạo ra một cách cẩn thận để nhận ra càng nhiều biến thể của một loại lỗ hổng nhất định càng tốt. Các truy vấn liên tục được cập nhật để nhận ra các thư viện và khuôn khổ mới nổi, cho phép bạn xác định chính xác các luồng dữ liệu người dùng không đáng tin cậy, thường là nguyên nhân gốc rễ của các lỗ hổng bảo mật.
Nguồn: Tiết lộ / GitHub.
Công cụ mới sẽ giúp CodeQL để xác định nhiều luồng dữ liệu người dùng không đáng tin cậy hơn và do đó có nhiều lỗ hổng bảo mật tiềm ẩn hơn. Tính năng thử nghiệm này hiện có sẵn trong phiên bản beta công khai cho các kho lưu trữ JavaScript và TypeScript trên nền tảng GitHub.
Cho phép quét mã
Quét mã mới này, cho máy học, sẽ được kích hoạt tự động cho những người đã sử dụng bộ phân tích. Đối với những người vẫn không sử dụng nó, chỉ cần kích hoạt nó bằng cách truy cập trang chính của kho lưu trữ của bạn, nhấp vào “Bảo mật” và sau đó vào “cấu hình quét mã”. Có thể truy cập thêm thông tin về cấu hình tại đây.
…..
