GitHub hat gerade eine neue Funktion zur Codeanalyse auf der Grundlage von maschinellem Lernen eingeführt. Diese experimentelle Funktion ist in der öffentlichen Betaversion der JavaScript- und TypeScript-Repositories auf GitHub.com verfügbar. Mit neuen Scanfunktionen kann die Codeanalyse mehr Warnungen für vier gängige Schwachstellenmuster generieren: Cross-Site Scripting (XSS), Pfadeingabe, NoSQL-Eingabe und SQL-Eingabe. Zusammen stellen diese vier Arten von Schwachstellen viele der jüngsten Sicherheitslücken (CVEs) im JavaScript/TypeScript-Ökosystem dar, und die Verbesserung der Codeanalysefähigkeit, um diese Schwachstellen früh im Entwicklungsprozess zu erkennen, ist wesentlich, um Entwicklern dabei zu helfen, sichereren Code zu schreiben, heißt es github. Die GitHub-Codeanalyse wird von der CodeQL-Parsing-Engine unterstützt
Dieser neue JavaScript- und TypeScript-Beta-Scan wird allen Benutzern der Security Extended Quality- und Security-Scan-Suiten zur Verfügung gestellt.
Wenn Sie die Code-Analyse verwenden, können Sie die Code-Aktionen als Zugabe verwenden, um eine der beiden Suiten zu erwähnen folgt:
[…]– Verwendet: github/codeql-action/init@v1
Mit:
Anfragen: + Erweiterte Sicherheit
[…]