软件托管服务提供商 GitHub 发布了一项新的实验功能,旨在尽可能早地在生产中消除一些更常见的安全漏洞的代码。
新的自动扫描器由机器学习 (ML) 提供支持,它将扫描以 TypeScript 和 JavaScript 编写的传入代码,以查找四个常见漏洞:跨站点脚本 (XSS)、路径注入、NoSQL 注入和 SQL 注入,从而减少恶意软件滥用 的机会。
该功能现在针对上述两种编程语言处于公开测试阶段。
更安全的代码
GitHub 的 Tiferet Gazit 和 Alona Hlobina 解释说,新的实验性 JavaScript 和 TypeScript 分析已向代码扫描的安全扩展和安全质量分析套件的所有用户推出。
“这四种漏洞类型共同导致了 JavaScript/TypeScript 生态系统中的许多近期漏洞 (CVE),提高代码扫描在开发过程早期检测此类漏洞的能力是帮助开发人员编写更安全代码的关键,”对添加。
如果提交的代码存在上述任何漏洞,则会在存储库的安全选项卡中显示警报。这些警报将带有“实验性”标签,也可以通过拉取请求选项卡获得。
显然,这并不意味着开发人员应该停止寻找缺陷,因为许多人可能仍会通过扫描仪,最终在易受攻击的端点上被滥用。
GitHub 最近一直在努力工作,因为它希望为用户尽可能多地自动化工作。除了自动进行缺陷检测之外,它还添加了一项几乎可以为您编写代码的功能,以及帮助开发人员更轻松地搜索他们的代码的功能。
这个名为GitHub Copilot的书写系统已经接受了公共存储库中数十亿行代码的训练,包括 GitHub 上的代码。微软和 GitHub 与 OpenAI 一起开发了 Copilot,OpenAI 是微软自 2019 年以来一直在投资的人工智能研究初创公司。