GitHub 免费供给机器学习扫描代码漏洞
发布时间:2022-03-11 08:29:36 所属栏目:动态 来源:互联网
导读:今天,GitHub 更新一项实验版新功能。用上机器学习后,新版 CodeQL 代码扫描服务可以帮开发者发现更多安全漏洞。 目前在 JavaScript 和 TypeScript 存储库上开发测试,以后会逐步增加各种语言支持。 目前,新的 JavaScript / TypeScript 分析工具,已向 se
|
今天,GitHub 更新一项实验版新功能。用上机器学习后,新版 CodeQL 代码扫描服务可以帮开发者发现更多安全漏洞。 目前在 JavaScript 和 TypeScript 存储库上开发测试,以后会逐步增加各种语言支持。 目前,新的 JavaScript / TypeScript 分析工具,已向 security-extended 和 security-and-quality 分析套件的所有用户推出。 如果你已经在使用这些套件,那么将自动使用新的机器学习技术进行分析。 如果你之前没使用过,可按照以下步骤启用 CodeQL。 1、在你的存储库主页下,单击 Security。 3、在 Code scanning alerts 右侧,点击 Set up code scanning。如果缺少这一项,需要由存储库管理员启用 GitHub 高级安全性。 4、在“Get started with code scanning”下,单击在 CodeQL Analysis 中的 Set up this workflow。 5、使用 Start commit 下拉菜单,输入文件名并提交。 6、选择直接提交到默认分支,还是创建一个新分支并启动拉取请求。 7、单击提交新文件。 代码扫描分析成功后,用户将在“Security”选项卡中看到安全警报信息。 但随着开源生态系统的快速发展,长尾效应越来越明显。 安全专家不断扩展和改进这些查询,对其他常见库和已知模式进行建模。然而,手动建模很耗时,而且总会有一些无法手动建模的不太常见的库和私有代码。 由此从训练数据中生成一个词汇表,并将索引列表输入到深度学习分类器中,输出当前样本是每种漏洞的概率。 虽然现在基于 ML 的漏洞扫描仅适用于 JavaScript / TypeScript,但 GitHub 承诺未来会支持更多语言,现在 CodeQL 已经支持了 Python、Go、C / C++ 在内的多种流行语言。 最后,GitHub 还强调,虽然全新工具可以发现更多漏洞,但也有可能提高误报率(召回率约为 80%,精度约为 60%)。未来这项功能会随着时间推移而改善。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号