社区编辑申请
注册/登录
GitHub 推出基于机器学习的代码扫描分析功能
安全 应用安全 机器学习
GitHub 推出了一项由机器学习驱动的新代码扫描分析功能,该代码扫描功能可以针对四种常见漏洞模式显示警报:跨站点脚本 (XSS)、路径注入、NoSQL 注入和 SQL 注入。

GitHub 推出了一项由机器学习驱动的新代码扫描分析功能,该代码扫描功能可以针对四种常见漏洞模式显示警报:跨站点脚本 (XSS)、路径注入、NoSQL 注入和 SQL 注入。

新的代码扫描功能由 CodeQL 分析引擎提供支持,启用 CodeQL 来针对某个代码库进行查询,即可识别潜在的安全漏洞。这些开源查询由社区成员和 GitHub 安全专家编写,尽可能多地识别特定漏洞类型的变体,并提供广泛的通用弱点枚举 (CWE) 覆盖范围。

该功能对 JavaScript 和 TypeScript 代码的静态分析,涵盖了整个 OWASP(开放式 WEB 应用程序安全项目)的十大漏洞类型。功能目前处于 beta 版本,侧重于为一些最常见和最危险的漏洞:

  • 跨站点脚本(XSS、CWE-79)
  • 路径注入(CWE-22、CWE-23、CWE-36、CWE-73、CWE-99)
  • NoSQL 注入 (CWE-943)
  • SQL 注入 (CWE-89)

随着开源生态系统的快速发展,不常用的库越来越多。因此新的扫描功能使用由手动编写的 CodeQL 查询提供的示例,不断地识别同类开源库以及内部开发的闭源库,以此来训练深度学习模型。使用这些模型,CodeQL 可以识别更多不受信任的用户数据流,从而识别更多潜在的安全漏洞。

如何打开该代码扫描功能?

  • 对使用 security-extended 或 security-and-quality 其中一个代码扫描分析套件的用户来说,该功能默认开启。
  • 对已在使用代码扫描功能,但未使用上述分析套件的用户,可以通过修改代码扫描操作的工作流配置文件,以启用新的分析功能:
[...]
- uses: github/codeql-action/init@v1
with:
queries: +security-extended
[...]

对未启用代码扫描功能的用户来说,可按照说明为 JavaScript/TypeScript 代码配置分析,并在配置过程中加入上述分析套件。

注意:基于机器学习的实验分析可能具有更高的误报率,与大多数机器学习模型一样,分析结果会随着模型的不断完善而改善。

本文转自OSCHINA

本文标题:GitHub 推出基于机器学习的代码扫描分析功能

本文地址:https://www.oschina.net/news/183694/github-code-scanning-with-machine-learning

责任编辑:未丽燕 来源: 开源中国
相关推荐

2022-02-25 11:24:23

开源GitHub机器学习

2022-03-10 15:42:18

机器学习GitHub

2022-02-07 00:05:49

2019-02-26 10:15:13

GitHub 开源代码

2019-07-24 10:32:12

2022-02-10 08:07:41

2019-05-27 17:32:50

2020-02-10 14:26:10

GitHub代码仓库

2019-08-06 13:29:48

2018-04-23 14:01:04

数据科学机器学习开发

2018-01-30 15:20:30

GitHub开源机器学习

2019-12-19 15:07:24

软件数据库Linux

2019-07-01 15:19:14

机器学习ML代码

2018-02-09 14:55:45

2021-12-20 07:58:59

2019-01-14 07:44:54

GtiHub 开源机器学习

2019-04-26 13:07:14

GitHub开源代码仓库

2020-03-17 10:21:27

人工智能机器学习技术

2020-06-28 10:40:45

2016-11-21 15:22:47

同话题下的热门内容

都说区块链“安全”,为什么 DeFi 黑客如此猖獗?关于Web渗透测试需要知道的一切:完整指南如何保护智能家居避免黑客攻击Verizon:物联网/移动网络攻击导致停机时间增加 22%黑客攻击接连不断,多链区块链愿景还存在吗?微软表示将向内部网络安全专家共享数据 为企业提供更安全保护微软365网络钓鱼攻击中滥用Snapchat和Amex网站如何逐步执行数据风险评估

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号