Kod barındırma platformu GitHub bugün, daha yaygın güvenlik açıklarını üretime geçmeden önce otomatik olarak keşfedecek yeni makine öğrenimi tabanlı kod tarama analizi özelliklerini kullanıma sundu.
Bu yeni deneysel statik analiz özellikleri artık genel beta sürümünde JavaScript ve TypeScript GitHub depoları için kullanılabilir.
GitHub’dan Tiferet Gazit ve Alona Hlobina, “Yeni analiz yetenekleriyle kod tarama, dört yaygın güvenlik açığı modeli için daha da fazla uyarı sağlayabilir: siteler arası komut dosyası oluşturma (XSS), yol enjeksiyonu, NoSQL enjeksiyonu ve SQL enjeksiyonu”.
“Birlikte, bu dört güvenlik açığı türü, JavaScript/TypeScript ekosistemindeki son güvenlik açıklarının (CVE’ler) birçoğunu açıklar ve kod taramanın bu tür güvenlik açıklarını geliştirme sürecinin başlarında algılama yeteneğini geliştirmek, geliştiricilerin daha güvenli kod yazmasına yardımcı olmanın anahtarıdır.”
Yeni deneysel kod analizi özellikleri tarafından keşfedilen güvenlik açıkları, kayıtlı havuzların ‘Güvenlik’ sekmesinde uyarılar olarak görünecektir.
Bu yeni uyarılar şu şekilde işaretlenmiştir: ‘Deneysel’ bir etiket ve ayrıca çekme istekleri sekmesinden de erişilebilir olacaktır.
GitHub’ın kod taramasını destekleyen CodeQL kod analiz motoru, GitHub’ın kod analiz platformu Semmle’yi satın almasından sonra platformun yeteneklerine eklendi. Eylül 2019.
GitHub, ilk kod tarama beta sürümünü şu adreste yayınladı: GitHub Uydu Mayıs 2020’de ve genel kullanılabilirliğini duyurdu dört ay sonra, Eylül 2020’de.
Beta testi sırasında, kod tarama özelliği 1,4 milyon kez 12.000’den fazla depoyu taramak için kullanıldı ve uzaktan kod yürütme (RCE), SQL enjeksiyonu ve siteler arası komut dosyası çalıştırma (XSS) kusurları dahil 20.000’den fazla güvenlik sorunu buldu.
GitHub Kod taraması, genel depolar için ücretsizdir ve GitHub Enterprise özel depoları için GitHub Gelişmiş Güvenlik özelliği olarak mevcuttur.
JavaScript/TypeScript kodunuz için kod analizini yapılandırmak için şunları takip edebilirsiniz: bu talimatlar. Yeni özellikler, kod taramanın güvenliği artırılmış ve güvenlik ve kalite analiz paketleri için mevcuttur.
Gazit ve Hlobina, “Makine öğrenimi modellerimizi geliştirmeye ve test etmeye devam ederken, bu yeni deneysel analizin standart CodeQL analizimizden elde edilen sonuçlara göre daha yüksek yanlış pozitif oranına sahip olabileceğini belirtmek önemlidir.” katma.
“Çoğu makine öğrenimi modelinde olduğu gibi, sonuçlar zamanla iyileşecek.”