Analisis eksperimental baru dapat memiliki tingkat positif palsu yang lebih tinggi dibandingkan dengan hasil dari analisis CodeQL standar
GitHub telah meluncurkan fitur analisis pemindaian kode yang didukung pembelajaran mesin untuk menghapus kerentanan keamanan umum sebelum beralih ke produksi. Pemindai akan mendeteksi pola seperti skrip lintas situs (XSS), injeksi jalur, injeksi NoSQL, dan injeksi SQL. Fitur ini sekarang tersedia dalam versi beta publik.
“Bersama-sama, keempat jenis kerentanan ini bertanggung jawab atas banyak kerentanan baru-baru ini (CVE) di ekosistem JavaScript/TypeScript, dan meningkatkan kemampuan pemindaian kode untuk mendeteksi kerentanan tersebut di awal proses pengembangan adalah kunci dalam membantu pengembang menulis kode yang lebih aman, ” menurut blog resmi.
Pemindai kode GitHub menggunakan mesin analisis CodeQL. Kueri open source ditulis oleh anggota komunitas dan pakar keamanan GitHub. Jika ada kerentanan yang ditandai, peringatan akan muncul di tab Keamanan. Lansiran akan memiliki label 'Eksperimental', dan juga akan ditampilkan di tab Permintaan Tarik.
Analisis eksperimental baru dapat memiliki tingkat positif palsu yang lebih tinggi dibandingkan dengan hasil dari analisis CodeQL standar. Tetapi hasilnya akan meningkat seiring waktu.
Tags:
cyber news