GitHubが機械学習ベースのコードスキャンと分析機能を開始

GitHubが機械学習ベースのコードスキャンと分析機能を開始

GitHub は、クロスサイト スクリプティング (XSS)、パス インジェクション、NoSQL インジェクション、SQL インジェクションという 4 つの一般的な脆弱性パターンに関するアラートを表示できる、機械学習を活用した新しいコード スキャン分析機能をリリースしました。

新しいコード スキャン機能は、CodeQL 分析エンジンによって強化されています。CodeQL を有効にすると、コード ベースをクエリして潜在的なセキュリティの脆弱性を特定できます。コミュニティ メンバーと GitHub セキュリティ エキスパートによって作成されたこれらのオープン ソース クエリは、特定の脆弱性タイプのバリアントを可能な限り多く特定し、広範な共通脆弱性列挙 (CWE) の範囲を提供します。

この機能は、OWASP (Open WEB Application Security Project) のトップ 10 の脆弱性タイプ全体を網羅して、JavaScript および TypeScript コードの静的分析を実行します。この機能は現在ベータ版であり、最も一般的で危険な脆弱性のいくつかに焦点を当てています。

  • クロスサイトスクリプティング (XSS、CWE-79)
  • パスインジェクション (CWE-22、CWE-23、CWE-36、CWE-73、CWE-99)
  • NoSQL インジェクション (CWE-943)
  • SQL インジェクション (CWE-89)

オープンソースのエコシステムが急速に成長するにつれて、珍しいライブラリも増えています。そのため、新しいスキャン機能では、手動で記述された CodeQL クエリによって提供される例を使用して、類似のオープンソース ライブラリと、ディープラーニング モデルのトレーニング用に社内で開発されたクローズド ソース ライブラリを継続的に識別します。これらのモデルを使用することで、CodeQL はより多くの信頼できないユーザー データ フローを識別し、より多くの潜在的なセキュリティの脆弱性を特定できます。

コードスキャン機能をオンにするにはどうすればよいですか?

  • この機能は、コード スキャン分析スイート (security-extended または security-and-quality) のいずれかのユーザーに対してデフォルトで有効になっています。
  • コード スキャン機能をすでに使用しているが、上記の分析スイートを使用していないユーザーの場合は、コード スキャン操作のワークフロー構成ファイルを変更することで、新しい分析機能を有効にすることができます。
 [ ... ]
- 使用: github / codeql - action / init @ v1

クエリ: + セキュリティ- 拡張
[ ... ]

コード スキャンを有効にしていないユーザーは、手順に従って JavaScript/TypeScript コードの分析を構成し、構成プロセス中に上記の分析スイートを含めることができます。

注意: 機械学習に基づく実験的分析では、誤検出率が高くなる可能性があります。ほとんどの機械学習モデルと同様に、モデルが改良されるにつれて分析結果も向上します。

この記事はOSCHINAから転載したものです

この記事のタイトル: GitHubが機械学習に基づくコードスキャンと分析機能を開始

この記事のアドレス: https://www.oschina.net/news/183694/github-code-scanning-with-machine-learning

<<:  ついに誰かが「組み込み人工知能」を明らかにした

>>:  革新的な人工視覚脳インプラントが初めて視覚障害者に移植される

ブログ    
ブログ    
ブログ    
ブログ    

推薦する

AIが企業の採用ルールをどう変えるのか

[[219941]] AI と機械学習が、人材管理の問題解決に役立っているというのは、皮肉なことです...

...

人工知能に関する6つの誤解を解く

「人工知能はすべての仕事を自動化し、人間を失業させるだろう。」 「人工知能は単なる架空の技術だ。」 ...

...

ビジネスに大きな影響を与える 5 つの AI テクノロジー

企業は、画像認識、音声認識、チャットボット、自然言語生成、感情分析がビジネスの運営方法にどのような変...

MOEA Framework 1.9は、MOEAアルゴリズムを開発するためのJavaクラスライブラリをリリースしました。

MOEA フレームワークは、多目的進化アルゴリズム (MOEA) を開発するための Java ライ...

OpenAIの内部抗争による被害はまだまだ終わっていない

OpenAI の最近の論争を受けて、AI エンジニアや企業はその API への依存を減らしたり、完全...

AIが製造業に力を与え、PowerLeader Serverは製品、サービス、生産に焦点を当てる

ビッグデータ、モノのインターネット、人工知能に代表される新世代の情報技術は大きな進歩を遂げ、産業化を...

IDC: アジア太平洋地域のAI支出は大幅に増加、銀行業界がAIに最も投資

IDC の最新の世界人工知能支出ガイドによると、アジア太平洋地域 (日本を除く) の AI システム...

顔認識の長所と短所:祝福か呪いか?

[[403037]]画像ソース: https://pixabay.com/images/id-32...

...

...

...

人工知能に関する長期的および短期的な懸念

人工知能(AI)技術の発展により、いつか「超人」的なAIが出現する日は来るのでしょうか?もしそうなれ...