Platform hosting kode GitHub telah meluncurkan fitur analisis pemindaian kode berbasis pembelajaran mesin baru yang secara otomatis akan menemukan kerentanan keamanan yang lebih umum sebelum berakhir di produksi.

Fitur analisis statis eksperimental baru ini sekarang tersedia untuk repositori JavaScript dan TypeScript GitHub dalam fase beta untuk publik.

Tiferet Gazit dan Alona Hlobina dari GitHub mengatakan, "Dengan kemampuan analisis baru, pemindaian kode dapat memunculkan lebih banyak peringatan untuk 4 pola kerentanan umum: cross-site scripting (XSS), path injection, NoSQL injection, and SQL injection."

"Bersama-sama, keempat jenis kerentanan ini bertanggung jawab atas banyak kerentanan baru-baru ini (CVE) dalam ekosistem JavaScript/TypeScript, dan meningkatkan kemampuan pemindaian kode untuk mendeteksi kerentanan tersebut di awal proses pengembangan adalah kunci dalam membantu pengembang menulis kode yang lebih aman.

Kerentanan keamanan yang ditemukan oleh fitur analisis kode eksperimental baru akan muncul sebagai peringatan di tab 'Keamanan' dari repositori yang terdaftar.

Peringatan baru ini ditandai menggunakan label 'Eksperimental' dan juga akan tersedia melalui pull request tab.

Experimental code scanning alerts (GitHub)

Mesin analisis kode CodeQL, yang mendukung pemindaian kode GitHub, ditambahkan ke kemampuan platform setelah GitHub mengakuisisi platform analisis kode Semmle pada September 2019.

GitHub merilis pemintadaian kode pertama dalam fase beta di GitHub Satellite pada Mei 2020 dan mengumumkann ketersediaanya secara umum 4 bulan kemudian, pada September 2020.

Selama pengujian fase beta, fitur pemindaian kode digunakan untuk memindai lebih dari 12.000 repositori 1,4 juta kali dan menemukan lebih dari 20.000 masalah keamanan, termasuk kelemahan remote code execution (RCE), SQL injection, dan cross-site scripting (XSS).

Pemindaian Kode GitHub dapat digunakan secara gratis untuk repositori publik dan tersedia sebagai fitur GitHub Advanced Security untuk repositori pribadi GitHub Enterprise.

Untuk mengonfigurasi analisis kode untuk kode JavaScript/TypeScript, Anda dapat mengikuti petunjuk ini. Fitur-fitur baru sudah tersedia untuk code scanning's security-extended dan security-and-quality analysis suites.

"Penting untuk dicatat bahwa sementara kami terus meningkatkan dan menguji model pembelajaran mesin kami, analisis eksperimental baru ini, dapat memiliki tingkat false positif yang lebih tinggi dibandingkan dengan hasil dari analisis CodeQL standar kami," tambah Gazit dan Hlobina.

"Seperti kebanyakan model pembelajaran mesin, hasilnya akan meningkat dengan seiringnya waktu."

Sumber: https://www.bleepingcomputer.com/news/security/github-code-scanning-now-finds-more-security-vulnerabilities/