GitHub推出了一种新的机器学习驱动的代码扫描分析,可显示四种常见漏洞模式的警报:跨站点脚本(XSS)、路径注入、NoSQL注入和SQL注入。新的代码扫描功能由CodeQL分析引擎提供支持,使CodeQL能够查询代码库以识别潜在的安全漏洞。这些开源查询由社区成员和GitHub安全专家编写,可识别尽可能多的特定漏洞类型的变体,并提供广泛的常见弱点枚举(CWE)覆盖范围。该功能对JavaScript和TypeScript代码的静态分析涵盖了整个OWASP(开放式WEB应用程序安全项目)的十大漏洞类型。目前处于测试阶段的功能,专注于为一些最常见和危险的漏洞提供保护:跨站点脚本(XSS、CWE-79)路径注入(CWE-22、CWE-23、CWE-36、CWE-73、CWE-99)NoSQLInjection(CWE-943)SQLInjection(CWE-89)随着开源生态的快速发展,不常用的库越来越多。因此,新的扫描功能使用手动编写的CodeQL查询提供的示例来不断识别同类开源库以及内部开发的闭源库,以训练深度学习模型。使用这些模型,CodeQL可以识别更多不受信任的用户数据流,从而识别更多潜在的安全漏洞。如何开启此扫码功能?对于使用安全扩展或安全和质量代码扫描分析套件之一的用户,此功能默认启用。对于已经使用扫码功能,但没有使用上述分析套件的用户,可以修改扫码操作的工作流配置文件,开启新的分析功能:[...]-uses:github/codeql-action/init@v1with:queries:+security-extended[...]对于没有启用代码扫描的用户,请按照说明配置对JavaScript/TypeScript代码的分析,并在配置过程中添加上述分析套件。注意:基于机器学习的实验分析可能会有较高的误报率,与大多数机器学习模型一样,分析结果会随着模型的不断完善而提高。本文转自OSCHINA文章标题:GitHub推出基于机器学习的扫码分析功能本文地址:https://www.oschina.net/news/183694/github-code-scanning-with-machine-学习
