GitHub 推出了一項由機器學(xué)習(xí)驅(qū)動的新代碼掃描分析功能，該代碼掃描功能可以針對四種常見漏洞模式顯示警報：跨站點腳本 (XSS)、路徑注入、NoSQL 注入和 SQL 注入。

新的代碼掃描功能由 CodeQL 分析引擎提供支持，啟用 CodeQL 來針對某個代碼庫進行查詢，即可識別潛在的安全漏洞。這些開源查詢由社區(qū)成員和 GitHub 安全專家編寫，盡可能多地識別特定漏洞類型的變體，并提供廣泛的通用弱點枚舉 (CWE) 覆蓋范圍。

該功能對 JavaScript 和 TypeScript 代碼的靜態(tài)分析，涵蓋了整個 OWASP(開放式 WEB 應(yīng)用程序安全項目)的十大漏洞類型。功能目前處于 beta 版本，側(cè)重于為一些最常見和最危險的漏洞：

• 跨站點腳本(XSS、CWE-79)
• 路徑注入(CWE-22、CWE-23、CWE-36、CWE-73、CWE-99)
• NoSQL 注入 (CWE-943)
• SQL 注入 (CWE-89)

隨著開源生態(tài)系統(tǒng)的快速發(fā)展，不常用的庫越來越多。因此新的掃描功能使用由手動編寫的 CodeQL 查詢提供的示例，不斷地識別同類開源庫以及內(nèi)部開發(fā)的閉源庫，以此來訓(xùn)練深度學(xué)習(xí)模型。使用這些模型，CodeQL 可以識別更多不受信任的用戶數(shù)據(jù)流，從而識別更多潛在的安全漏洞。

如何打開該代碼掃描功能?

• 對使用 security-extended 或 security-and-quality 其中一個代碼掃描分析套件的用戶來說，該功能默認(rèn)開啟。
• 對已在使用代碼掃描功能，但未使用上述分析套件的用戶，可以通過修改代碼掃描操作的工作流配置文件，以啟用新的分析功能：

[...]
    - uses: github/codeql-action/init@v1
      with:
        queries: +security-extended
[...]

對未啟用代碼掃描功能的用戶來說，可按照說明為 JavaScript/TypeScript 代碼配置分析，并在配置過程中加入上述分析套件。

注意：基于機器學(xué)習(xí)的實驗分析可能具有更高的誤報率，與大多數(shù)機器學(xué)習(xí)模型一樣，分析結(jié)果會隨著模型的不斷完善而改善。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：GitHub 推出基于機器學(xué)習(xí)的代碼掃描分析功能

本文地址：https://www.oschina.net/news/183694/github-code-scanning-with-machine-learning

文章名稱：GitHub推出基于機器學(xué)習(xí)的代碼掃描分析功能
標(biāo)題URL：http://uogjgqi.cn/article/dhgijjp.html