GitHub va découvrir plus de vulnérabilités de code

GitHub dispose d’un nouvel outil qui analyse le code sur la base de l’apprentissage automatique (« machine learning ») afin d’éliminer les vulnérabilités avant qu’elles n’atteignent un environnement de production.

GitHub lance un nouvel outil de sécurité. Désormais, le site d’hébergement analyse le code à la recherche de vulnérabilités via le machine learning. L’analyse de sécurité supplémentaire est disponible en version bêta pour les référentiels avec JavaScript et TypeScript. L’outil peut détecter, entre autres, les injections XXS, path injecton SQL et NoSQL. Ces types de vulnérabilités se retrouvent souvent dans les nouvelles CVE.

En détectant les problèmes dans le code sur GitHub, les développeurs reçoivent essentiellement un avertissement avant que le code ne soit mis en production. La nouvelle fonctionnalité étend le balayage de code existant dans GitHub. La plate-forme a lancé le moteur d’analyse CodeQL en disponibilité générale en septembre 2020.

Expérimental

La nouvelle fonctionnalité de machine learning n’est pas encore disponible de manière générale. Pour l’utiliser, vous devez vérifier les paramètres appropriés sous les paramètres de sécurité de votre référentiel. Github explique en détail son fonctionnement. Les résultats de la fonctionnalité expérimentale sont clairement séparés des autres avertissements de l’outil de balayage. Ils sont étiquetés « Expérimental ». Il est possible que la solution en version bêta produise encore un nombre relativement élevé de résultats faussement positifs.

GitHub Code scanning est gratuite pour les dépôts publics et fait également partie de la fonctionnalité de sécurité avancée de GitHub dans GitHub Enterprise pour les dépôts privés.

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.
retour à la maison