Kod Hosting Platformu Github Günümüzde, üretimde bitmeden önce daha yaygın güvenlik açıklarını otomatik olarak keşfedecek yeni makine öğrenme tabanlı kod tarama analiz özelliklerini başlattı.
Bu yeni deneysel statik analiz özellikleri, genel beta'daki Javascript ve TypingScript Github depolarına uygundur.
Github'un Tiferet Gazit ve Alona Hlobina'nın Tiferet Gazit ve Alona Hlobina'nın Tiferet Gazit ve Alona Hlobina'nın dört adresi, "Yeni Analiz Yetenekleri, Kod taraması, dört ortak güvenlik açığı deseni için daha da fazla uyarılar sağlayabilir: Github'ın Tiferet Gazit ve Alona Hlobina," Siteli Scripting (XSS), Yol Enjeksiyonu, NOSQL Enjeksiyonu ve SQL Enjeksiyonu "dedi.
"Birlikte, bu dört güvenlik açığı türü, JavaScript / Tynemscript ekosisteminde son güvenlik açıklarının (CVES) birçoğunun birçoğunu hesaba katın ve Kod taramanın geliştirme işleminin erken döneminde bu güvenlik açıklarını erteleme becerisini geliştirme yeteneğinin geliştirilmesinde, geliştiricilerin daha güvenli kod yazmalarına yardımcı olur."
Yeni Deneysel Kod Analizi özellikleri tarafından keşfedilen güvenlik açıkları, kayıtlı havuzların 'Güvenlik' sekmesinde uyarılar olarak ortaya çıkacaktır.
Bu yeni uyarılar, 'deneysel' bir etiket kullanılarak işaretlenir ve ayrıca çekme istekleri sekmesi ile de bulunur.
Github'in kod taramasını güçlendiren Codeql kodu analiz motoru, Eylül 2019'da GitHub Kod-Analiz Platformu Semmle'ten Sonra Platformun Yeteneklerine Eklendi.
Github, 2020'de GitHub Satellite'deki ilk kod taramasını piyasaya sürdü ve 2020 yıllarında dört ay sonra genel kullanılabilirliğini duyurdu.
Beta testi sırasında, kod tarama özelliği, 12.000'den fazla depolama alanı 1,4 milyondan fazla taramak için kullanıldı ve Uzaktan Kod Yürütme (RCE), SQL Enjeksiyonu ve Site Site komut dosyası (XSS) kusurları dahil olmak üzere 20.000'den fazla güvenlik sorunu buldu.
GitHub Kod Tarama, kamu havuzları için ücretsizdir ve GitHub Enterprise özel depolarında GitHub Advanced Security özelliği olarak kullanılabilir.
JavaScript / Ticture kodunuz için kod analizini yapılandırmak için bu talimatları izleyebilirsiniz. Yeni özellikler, kod taramasının güvenlik uzatılmış ve güvenliği ve kaliteli analiz süitleri için kullanılabilir.
Gazi ve Hlobina, "Makine öğrenme modellerimizi geliştirmeye ve test etmeye devam ederken, bu yeni deneysel analizin, standart Codeql analizimin sonuçlarına göre daha yüksek yanlış pozitif oranlara sahip olabileceğini not etmek önemlidir" dedi.
"Çoğu makine öğrenme modellerinde olduğu gibi, sonuçlar zaman içinde iyileşecek."
CISA, ücretsiz siber güvenlik araçları ve hizmetlerinin listesini derler.
WordPress Force, 3 Milyon Sitede UpdraftPlus Yamasını Yükler
Hackerlar, kötü amaçlı e-postaları kullanarak Cisco güvenli e-posta ağ geçitlerini çökertebilir
Tüm log4j, logback hataları şimdiye kadar biliyoruz ve neden hendek yapmalısınız 2.15
Google neredeyse iki katlı Linux çekirdeği, Kubbernetes Sıfır Gün Ödülleri
Kaynak: Bleeping Computer