GitHub lancia lo strumento di scansione del codice per progetti JavaScript e TypeScript

La funzionalità sperimentale basata sull'apprendimento automatico mira a identificare le vulnerabilità della sicurezza utilizzando l'esperienza open source

github

GitHub ha rilasciato un nuovo strumento di scansione per la sua piattaforma che consente agli utenti di controllare i loro repository dalle minacce più comuni che prendono di mira il linguaggio di sviluppo scelto dalla loro codebase.

Lanciata giovedì come beta pubblica gratuita per tutti gli utenti, la funzione utilizza l’apprendimento automatico e il deep learning per scansionare le basi di codice e identificare le vulnerabilità di sicurezza comuni prima del lancio di un prodotto.

La funzionalità sperimentale è attualmente disponibile per tutti gli utenti della piattaforma, inclusi gli utenti di GitHub Enterprise come funzionalità di sicurezza avanzata di GitHub, e può essere utilizzata per progetti scritti in JavaScript o TypeScript.

Lo strumento è progettato per cercare le quattro vulnerabilità più comuni che interessano i progetti scritti in questi due linguaggi: cross-site scripting (XSS), path injection, NoSQL injection e SQL injection.

Tali attacchi possono comportare che gli aggressori eseguano codice dannoso sui computer delle vittime o si impossessano di interi database, portando a dati sensibili compromessi o rubati.

“Insieme, questi quattro tipi di vulnerabilità rappresentano molte delle recenti vulnerabilità nell’ecosistema JavaScript/TypeScript e migliorare la capacità della scansione del codice di rilevare tali vulnerabilità all’inizio del processo di sviluppo è fondamentale per aiutare gli sviluppatori a scrivere codice più sicuro”, ha affermato Tiferet Gazit, ingegnere senior di machine learning e Alona Hlobina, product manager, entrambi presso GitHub, in un post sul blog.

Gli sviluppatori possono scansionare il proprio codice utilizzando il motore CodeQL basato sull’apprendimento automatico della piattaforma, interrogando il proprio codice come se si trattasse di dati.

Le query open source sono scritte da esperti della comunità GitHub e sono progettate per riconoscere quante più varianti possibili di un tipo di vulnerabilità in una singola query.

Gli utenti possono cercare le migliori query relative alle vulnerabilità che stanno cercando di identificare ed eseguirle sulla propria base di codice per un’analisi della sicurezza efficiente.

“Con la rapida evoluzione dell’ecosistema open source, c’è una coda lunga sempre crescente di librerie che sono meno comunemente utilizzate”, hanno affermato Gazit e Hlobina. “Utilizziamo esempi emersi dalle query CodeQL realizzate manualmente per addestrare modelli di deep learning a riconoscere tali librerie open source, nonché librerie closed-source sviluppate internamente”.

Vista la natura open source delle query, queste possono essere costantemente aggiornate con ulteriori perfezionamenti per rilevare più varianti di vulnerabilità con una singola query e riconoscere librerie e framework emergenti.

L’identificazione delle librerie emergenti è particolarmente importante, ha affermato GitHub, perché aiuta a identificare i flussi di dati degli utenti non attendibili, che sono spesso la causa principale dei problemi di sicurezza.

GitHub ha affermato che poiché la funzionalità sperimentale è ancora in versione beta, gli utenti possono aspettarsi un tasso di rilevamenti di falsi positivi più elevato rispetto a un’analisi CodeQL standard, ma questo migliorerà nel tempo.

Fonte: itpro

Post Correlati