El proveedor de servicios de alojamiento de software GitHub ha lanzado una nueva función experimental que tiene como objetivo eliminar algunas de las vulnerabilidades de seguridad más comunes del código lo antes posible en la producción.

El nuevo escáner automático funciona con aprendizaje automático (ML), que escaneará el código entrante, escrito en TypeScript y JavaScript, en busca de cuatro vulnerabilidades comunes: secuencias de comandos entre sitios (XSS), inyección de ruta, inyección NoSQL e inyección SQL, lo que reduce el riesgo. de abuso de malware.

La característica ahora está en versión beta pública para los dos lenguajes de programación antes mencionados.

Código más seguro

El nuevo escaneo experimental de JavaScript y TypeScript se está implementando para todos los usuarios de las suites Extended Security Scanning y Code Scanning Security and Quality, explicaron Tiferet Gazit y Alona Hlobina de GitHub.

«Juntos, estos cuatro tipos de vulnerabilidades representan muchas vulnerabilidades recientes (CVE) en el ecosistema de JavaScript/TypeScript, y mejorar la capacidad del análisis de código para detectar estas vulnerabilidades al principio del proceso de desarrollo es esencial para ayudar a los desarrolladores a escribir un código más seguro», dijo el agregó el par.

Si el código enviado tiene alguna de las vulnerabilidades antes mencionadas, se mostrará una alerta en la pestaña Seguridad del repositorio. Estas alertas tendrán una etiqueta «Experimental» y también estarán disponibles a través de la pestaña de solicitudes de incorporación de cambios.

Automatice todo

Por supuesto, eso no significa que los desarrolladores deban dejar de buscar vulnerabilidades, ya que es probable que muchas pasen el escáner y terminen siendo abusadas en los puntos finales vulnerables.

GitHub ha estado trabajando duro últimamente, ya que busca automatizar la mayor cantidad de trabajo posible para sus usuarios. Además de automatizar la detección de defectos, agregó una función que prácticamente escribirá el código por usted, así como otra para ayudar a los desarrolladores a encontrar su código más fácilmente.

El sistema de escritura, llamado GitHub Copilot, se entrenó en miles de millones de líneas de código disponibles en repositorios públicos, incluidos los de GitHub. Microsoft y GitHub desarrollaron Copilot con OpenAI, una startup de investigación de IA en la que Microsoft ha invertido desde 2019.

Vía: BleepingComputer

Share This