GitHub 推出基于机器学习的代码扫描分析功能


GitHub 推出了一项由机器学习驱动的新代码扫描分析功能,该代码扫描功能可以针对四种常见漏洞模式显示警报:跨站点脚本 (XSS)、路径注入、NoSQL 注入和 SQL 注入。

新的代码扫描功能由 CodeQL 分析引擎提供支持,启用 CodeQL 来针对某个代码库进行查询,即可识别潜在的安全漏洞。这些开源查询由社区成员和 GitHub 安全专家编写,尽可能多地识别特定漏洞类型的变体,并提供广泛的通用弱点枚举 (CWE) 覆盖范围。

该功能对 JavaScript 和 TypeScript 代码的静态分析,涵盖了整个 OWASP(开放式 WEB 应用程序安全项目)的十大漏洞类型。功能目前处于 beta 版本,侧重于为一些最常见和最危险的漏洞

  • 跨站点脚本(XSS、CWE-79)
  • 路径注入(CWE-22、CWE-23、CWE-36、CWE-73、CWE-99)
  • NoSQL 注入 (CWE-943)
  • SQL 注入 (CWE-89)

随着开源生态系统的快速发展,不常用的库越来越多。因此新的扫描功能使用由手动编写的 CodeQL 查询提供的示例,不断地识别同类开源库以及内部开发的闭源库,以此来训练深度学习模型。使用这些模型,CodeQL 可以识别更多不受信任的用户数据流,从而识别更多潜在的安全漏洞。

如何打开该代码扫描功能?

  • 对使用  security-extended 或 security-and-quality 其中一个代码扫描分析套件的用户来说,该功能默认开启。
  • 对已在使用代码扫描功能,但未使用上述分析套件的用户,可以通过修改代码扫描操作的工作流配置文件,以启用新的分析功能:
[...]
- uses: github/codeql-action/init@v1
with:
queries: +security-extended
[...]
  • 对未启用代码扫描功能的用户来说,可按照说明为 JavaScript/TypeScript 代码配置分析,并在配置过程中加入上述分析套件。

注意:基于机器学习的实验分析可能具有更高的误报率,与大多数机器学习模型一样,分析结果会随着模型的不断完善而改善。


相關推薦

2023-03-01

据底座玄武(XUANWU)已于今日正式发布,欢迎访问https://github.com/kyligence-xuanwu/document  进行体验!同时,您也可以扫描下方群二维码,加入玄武(XUANWU)社区详细交流。

2023-11-18

。作为 πDataCS 首款计算引擎,PieCloudDB Database 再度升级,推出全新社区版本。 目前,PieCloudDB 云原生虚拟数仓全面支持 πDataCS 云上云版、社区版、企业版及一体机多个产品版本,提供公有云、私有云以及裸硬件三种部署方式,

2023-08-03

全和可信。 且在生成式 AI 的热潮下, Socket 最近还推出了 ChatGPT(OpenAI 的人工智能聊天机器人)的连接器,它可以总结软件包中的潜在问题,尤其是“uncommon”的代码模式。

2023-07-25

因担心泄露相关数据而限制员工使用ChatGPT、微软旗下的GitHub Copilot等其他外部人工智能工具。 然而,苹果仍然需要对其他公司在人工智能领域的发展做出回应。据报道,该公司已经使用自有框架Ajax为其服务构建了许多机器学习

2023-08-07

p;Go issues 在接下来的几周内,预计还将推出与 Socket for GitHub 和 Socket for VSCode 集成、增强 Go 模块支持、改进 AI 驱动的 Go 问题检测和零日漏洞监控等内容。 值得一提的是,除了新增对 Go 生态系统的支持外。Socket 还宣

2022-09-06

中文 NLP 的快速发展和业务落地。 开源项目地址:https://github.com/alibaba/EasyNLP EasyNLP is a Comprehensive and Easy-to-use NLP Toolkit EasyNLP 主要特性如下: 易用且兼容开源:EasyNLP 支持常用的中文 NLP 数据和模型,方便用户评测中文 NLP

2023-03-11

n 编程语言已有 30 多年的历史,且依旧保持着流行趋势。GitHub 2022 年度 Octoverse 报告曾指出,Python 仍然是使用第二多的编程语言,使用量同比增长超过 22%;在 2022 年的某个时候,GitHub 上有超过 400 万开发人员在使用该语言。

2023-10-21

为一家承载各类数据驱动型工作负载的数据平台公司,现推出全新的 Alluxio Enterprise AI 高性能数据平台, 旨在满足人工智能 (AI) 和机器学习 (ML) 负载对于企业数据基础设施不断增长的需求。 Alluxio Enterprise AI 平台可综合优化企业 AI

2023-12-01

来了许多新功能和改进。 ML.NET 是一个开源、跨平台的机器学习框架,专为 .NET 开发者设计,可以将自定义的机器学习模型集成到 .NET 应用程序中。 在这个版本中,深度学习方案得到了大幅扩展——引入了目标检测 (Object

2024-07-02

EasyAI码云下载链接:https://gitee.com/dromara/easyAi EasyAI GitHub下载链接:https://github.com/lifejwang11/easyAi EasyAI主要技术文档地址:https://yhk.yhktech.com/easyai EasyAI详细视频教程:https://www.bilibili.com/video/av89134035 JAVA人工智能0基础体

2022-10-18

如 off-by-one errors 和缓冲区溢出。 目前,谷歌已经在 GitHub 开源了大部分 KataOS 核心部分。具体包括用于 Rust 的框架(例如 sel4-sys crate,它提供了 seL4 系统调用 API),一个用 Rust 编写的备用 rootserver(用于动态系统范围的内存

2022-09-03

率的开发工具不在少数,其中就包括近期热度颇高的 GitHub Copilot service。对此,Brothers 则表示,他们正在构建的工具与 GitHub Copilot 非常不同。Copilot 旨在帮助开发人员编写代码,但它并不能帮助开发人员在编写代码后对其

2023-04-04

子图组件 错误和漏洞的修复 更多详情可查看:https://github.com/kubeflow/kubeflow/releases/tag/v1.7.0

2023-10-26

一个大胆的替代方案。 Istio Istio 是一个服务网格,可为基于容器的微服务简化网络和通信,提供流量路由、监控、日志记录和可观测性,同时通过加密、身份验证和授权功能增强安全性。 Istio 将通信及其安全功能与应用程序