GitHub仅限提供机器学习扫描代码漏洞，现已支持JavaScript/TypeScript

晓查 发自 凹非寺院

量子位 | 大众号 QbitAI

今天，GitHub愈来愈一新一项实验室旧版一新功用。

用上图表挖掘后，一新旧版 CodeQLcode扫瞄服务可以帮开源推测愈来愈多安全错误。

现在在 Java和 Type存储努上开发测试，之后不会逐步增沙各种语种拥护。

在测试其间，CodeQL早就从12,000个存储努里面推测了超过20,000个安全问题，包括远程code执行（RCE）、SQL 注入和跨站脚本（XSS）错误。

如何常用

GitHub的CodeQLcode扫瞄对于公共存储努是仅限的。

现在，一新的Java/Type归纳物件，已向security-extended和security-and-quality归纳模组的所有用户热卖。

如果你早就在常用这些模组，那么将自动常用一新的图表挖掘电子技术来进行归纳。

如果你之前没常用过，可按照都有步骤启用CodeQL。

1、在你的存储努该网站下，点击 Security。

3、在 Code scanning alerts右侧，点击 Set up code scanning。如果依靠这一项，需要由存储努系统管理员启用GitHub高级相容性。

4、在“Get started with code scanning”下，点击在 CodeQL Analysis里面的 Set up this workflow。

5、常用 Start commit下拉菜单，输入URL并审批。

6、自由选择直接审批到可选分支，还是创建一个一新分支并启动拉取催促。

8、点击审批一新文件。

code扫瞄归纳成功后，用户将在“Security”选项卡里面看见安全强台风的资讯。

为何用ML能造成愈来愈好精准度

为了检测存储努里面的错误，CodeQL变速箱首先重构了一个图表努，对code的特殊关联坚称来进行解码，然后在图表努上执行一系列CodeQL核对。

但随着开源生态系统的快速演进，长尾效应愈来愈明显。

安全专家大幅度扩展和改进这些核对，对其他少见努和已知模式来进行数学假设。然而，手动数学假设很不间断，而且总不会有一些无法手动数学假设的不太少见的努和私有code。

这时候图表挖掘就派上了用场。

通过等价大量训练code视频，每个核对都标记为正面或负面样品，为每个视频分离出不同之处，并训练深度学习假设对一新实例来进行形态学。

GitHub不是将每个code视频简单地视为一串短语或字符，直接电子技术的演进标准NLP电子技术对这些字符来进行形态学，而是利用CodeQL访问期间有关底层源code的大量的资讯，为每个code视频降解一组丰富的feature，然后像NLP那样对它们来进行标记和子标记。

由此从训练图表里面降解一个简而言之，并将引文此表输入到深度学习形态学器里面，反向理论上样品是每种错误的几率。

虽然现在基于ML的错误扫瞄至少适用于Java/Type，但GitHub尽快 下一代不会拥护愈来愈多语种，现在CodeQL早就拥护了Python、Go、C/C++在内的多种广为人知语种。

最后，GitHub还强调，虽然全一新物件可以推测愈来愈多错误，但也无论如何提高误报率（被免职率近为 80%，准确性近为 60%）。下一代这项功用不会随着时间推移而提高。

概要链接：

[1]

[2]

[3]

— 完—

「计算机」、「智能汽车」微信社群推荐你重新沙入！

欢迎关注计算机、智能汽车的小伙伴们重新沙入我们，与AI更有交流、切磋，不错过最一新行业演进&电子技术方面。

ps.沙好友再三务必除此以外您的名字-公司-行政官员哦~

点这里 👇关注我，忘记标星哦～

一键三连「分享」、「点赞」和「在看」

科技前沿方面日日相见~