Sécurité : GitHub lance l'analyse automatique de code à base de machine learning
lun, 21/02/2022 - 15:41
GitHub vient de lancer une nouvelle fonctionnalité d'analyse de code optimisées par l'apprentissage automatique. Cette fonctionnalité expérimentale est disponible en version bêta publique pour les référentiels JavaScript et TypeScript sur GitHub.com. Grâce aux nouvelles capacités d'analyse, l'analyse de code peut générer encore plus d'alertes pour quatre modèles de vulnérabilité courants : script intersite (XSS), injection de chemin, injection NoSQL et injection SQL. Ensemble, ces quatre types de vulnérabilités représentent de nombreuses vulnérabilités récentes (CVE) dans l'écosystème JavaScript/TypeScript, et l'amélioration de la capacité de l'analyse de code à détecter ces vulnérabilités au début du processus de développement est essentielle pour aider les développeurs à écrire un code plus sécurisé, selon GitHub. L' analyse de code GitHub est alimentée par le moteur d'analyse CodeQL
Cette nouvelle analyse expérimentale JavaScript et TypeScript est déployée pour tous les utilisateurs des suites d'analyse security-extended et security-ans-quality.
Si vous utilisez déjà l'analyse de code, mais que vous n'utilisez pas encore l'une de deux suites mentionnée ci-dessus, vous pouvez activer la nouvelle analyse expérimentale en modifiant votre fichier de configuration du workflow Actions d'analyse de code comme suit :
[...]
- uses: github/codeql-action/init@v1
with:
queries: +security-extended
[...]