Le fournisseur de services d’hébergement de logiciels GitHub a publié une nouvelle fonctionnalité expérimentale qui vise à débarrasser le code de certaines des vulnérabilités de sécurité les plus courantes, le plus tôt possible en production.
Le nouveau scanner automatique est alimenté par l’apprentissage automatique (ML), qui analysera le code entrant, écrit en TypeScript et JavaScript, à la recherche de quatre vulnérabilités courantes : les scripts intersites (XSS), l’injection de chemin, l’injection NoSQL et l’injection SQL, réduisant ainsi les risques d’abus de logiciels malveillants.
La fonctionnalité est maintenant en version bêta publique pour les deux langages de programmation susmentionnés.
Code plus sécurisé
La nouvelle analyse expérimentale JavaScript et TypeScript est déployée pour tous les utilisateurs des suites d’analyse de sécurité étendue et de sécurité et de qualité de l’analyse de code, ont expliqué Tiferet Gazit et Alona Hlobina de GitHub.
« Ensemble, ces quatre types de vulnérabilités représentent de nombreuses vulnérabilités récentes (CVE) dans l’écosystème JavaScript/TypeScript, et l’amélioration de la capacité de l’analyse de code à détecter ces vulnérabilités au début du processus de développement est essentielle pour aider les développeurs à écrire un code plus sécurisé », a déclaré le paire ajoutée.
Si le code soumis présente l’une des vulnérabilités susmentionnées, une alerte s’affichera dans l’onglet Sécurité du référentiel. Ces alertes auront un libellé « Expérimental » et seront également disponibles via l’onglet pull requests.
Tout automatiser
Évidemment, cela ne signifie pas que les développeurs doivent cesser de rechercher les failles, car beaucoup passeront probablement encore le scanner et finiront par être abusés sur les terminaux vulnérables.
GitHub a travaillé dur ces derniers temps car il cherche à automatiser autant de travail que possible pour ses utilisateurs. En plus d’automatiser la détection des défauts, il a ajouté une fonctionnalité qui écrira à peu près le code pour vous, ainsi qu’une autre pour aider les développeurs à rechercher plus facilement dans leur code.
Le système d’écriture, appelé GitHub Copilot, a été formé sur des milliards de lignes de code disponibles dans des référentiels publics, y compris ceux sur GitHub. Microsoft et GitHub ont développé Copilot avec OpenAI, une startup de recherche en IA dans laquelle Microsoft investit depuis 2019.
Via : BleepingComputer