O GitHub agora usa machine learning (ML) para alertar os desenvolvedores sobre possíveis vulnerabilidades de segurança em seu código. A nova ferramenta de escaneamento de código é capaz de encontrar mais vulnerabilidades de segurança em potencial e solucionar problemas recorrentes no ecossistema JavaScript/TypeScript. Esta nova versão beta de verificação de código poderá encontrar mais alertas para quatro padrões de vulnerabilidade comuns: cross-site scripting (XSS), path injection, NoSQL injection e SQL injection.

• Siga o tecflow no Google News!
• Participe do nosso grupo no Telegram ou Whatsapp2!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui.

O mecanismo de análise CodeQL é o responsável pela varredura de código para identificar possíveis vulnerabilidades de segurança e evitar que invasores executem códigos maliciosos nas máquinas das vítimas ou assumam o controle de bancos de dados inteiros. 

Para identificar possíveis vulnerabilidades de segurança, os desenvolvedores podem permitir que o CodeQL execute consultas em sua base de código. Essas consultas de open source são escritas por membros da comunidade e especialistas em segurança do GitHub, e cada consulta é cuidadosamente elaborada para reconhecer o maior número possível de variantes de um determinado tipo de vulnerabilidade. As consultas são continuamente atualizadas para reconhecer bibliotecas e estruturas emergentes, o que permite identificar com precisão fluxos de dados de usuários não confiáveis, que muitas vezes são a causa raiz das vulnerabilidades de segurança.

A nova ferramenta ajudará o CodeQL a identificar mais fluxos de dados de usuários não confiáveis e, portanto, mais vulnerabilidades de segurança em potencial. Este recurso experimental já está disponível em beta pública para repositórios JavaScript e TypeScript no GitHub.com.

Mais detalhes para habilitar a novo recurso de varredura você encontra neste post e detalhes técnicos de engenharia podem ser encontrados aqui.

Faça como os mais de 4.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão!  

Marciel

Formado em jornalismo, o editor atua há mais de 10 anos cobrindo notícias referente ao mercado B2B. Porém, apesar de toda a Transformação Digital, ainda prefere ouvir música em disco de vinil.