Поставщик услуг хостинга программного обеспечения GitHub выпустил новую экспериментальную функцию, цель которой — как можно скорее удалить некоторые из наиболее распространенных уязвимостей безопасности из кода в рабочей среде.

Новый автоматизированный сканер работает на основе машинного обучения (ML), которое будет сканировать входящий код, написанный на TypeScript и JavaScript, на наличие четырех распространенных уязвимостей: межсайтовый скриптинг (XSS), внедрение маршрута, внедрение NoSQL и внедрение SQL. риск. злоупотребления вредоносными программами.

Эта функция сейчас находится в публичной бета-версии для обоих вышеупомянутых языков программирования.

более безопасный код

Новое экспериментальное сканирование JavaScript и TypeScript распространяется на всех пользователей пакетов расширенного сканирования безопасности и сканирования кода, безопасности и качества, объяснили Тиферет Газит из GitHub и Алона Хлобина.

«Вместе эти четыре типа уязвимостей представляют собой множество недавних уязвимостей (CVE) в экосистеме JavaScript/TypeScript, и улучшение способности анализа кода обнаруживать эти уязвимости на ранних этапах процесса разработки имеет важное значение, чтобы помочь разработчикам писать более безопасный код», добавлена ​​пара.

Если отправленный код имеет какую-либо из упомянутых выше уязвимостей, на вкладке «Безопасность» репозитория будет отображаться предупреждение. Эти оповещения будут помечены как «Экспериментальные», а также будут доступны на вкладке запроса на вытягивание.

Автоматизируйте все

Конечно, это не означает, что разработчики должны перестать искать уязвимости, поскольку многие из них, скорее всего, не будут проверены сканером и в конечном итоге станут объектом злоупотреблений на уязвимых конечных точках.

В последнее время GitHub усердно работает, стремясь максимально автоматизировать работу своих пользователей. В дополнение к автоматическому обнаружению дефектов в нем добавлена ​​функция, которая будет виртуально писать код для вас, а также еще одна функция, помогающая разработчикам легче находить ваш код.

Система написания под названием GitHub Copilot была обучена на миллиардах строк кода, доступных в общедоступных репозиториях, в том числе на GitHub. Microsoft и GitHub разработали Copilot совместно с OpenAI, исследовательским стартапом в области искусственного интеллекта, в который Microsoft инвестировала с 2019 года.

Через: BleepingComputer

Поделиться