GitHub krijgt een nieuwe tool die code scant op basis van machine learning om zo kwetsbaarheden tegen te houden voor ze in een productie-omgeving terechtkomen.
GitHub lanceert een nieuwe beveiligingstool. Voortaan scant de hostingwebsite code via machine learning op kwetsbaarheden. De bijkomende beveiligingsanalyse is beschikbaar in bèta voor repositories met JavaScript en TypeScript. De tool kan onder andere XXS, path injecton SQL- en NoSQL-injectie detecteren. Dergelijke types van kwetsbaarheden komen vaak voor in nieuwe CVE’s.
Door de problemen te ontdekken in de code op GitHub, krijgen ontwikkelaars in principe een waarschuwing voor ze in productie gaat. De nieuwe functionaliteit breidt bestaande code-scanning binnen GitHub uit. Het platform lanceerde de CodeQL-analyse-engine in september 2020 in algemene beschikbaarheid.
Experimenteel
De nieuwe machine learning-functionaliteit is nog niet algemeen beschikbaar. Om ervan gebruik te maken, moet je de juiste instellingen aanvinken onder de Security-instellingen van je repository. Github legt de manier van werken in detail uit. Resultaten van de experimentele functionaliteit worden duidelijk gescheiden van andere waarschuwing van de scantool. Zij krijgne het label ‘Expermimental’ mee. De kans bestaat dat de oplossing in bèta nog relatief veel vals positieve resultaten oplevert.
GitHub Code scanning is gratis voor publieke repositories en maakt ook onderdeel uit van de HitHub Advanced Security-functionaliteit binnen GitHub Enterprise bij private repositories.