استفاده از هوش ماشینی در هشدارهای امنیتی GitHub

TL;DR

• سال گذشته،.
• ما هشدارهای امنیتی را منتشر کردیم که آسیب پذیری‌های امنیتی در بسته‌های Ruby و JavaScript را.
• ردیابی می‌کند.

چه اتفاقی افتاد

سال گذشته،. ما هشدارهای امنیتی را منتشر کردیم که آسیب پذیری‌های امنیتی در بسته‌های Ruby و JavaScript را.

ردیابی می‌کند. از آن زمان،.

ما بیش از چهار میلیون مورد از این آسیب‌پذیری‌ها را شناسایی کرده ایم و پشتیبانی از پایتون را اضافه. کرده ایم.

در پست راه اندازی خود،. اشاره کردیم که تمام آسیب پذیری‌های دارای شناسه CVE در هشدارهای امنیتی گنجانده شده است،.

اما گاهی اوقات آسیب پذیری‌هایی وجود دارد که در پایگاه داده آسیب پذیری ملی فاش نمی‌شوند. خوشبختانه، مجموعه هشدارهای امنیتی ما می‌تواند با آسیب‌پذیری‌های شناسایی شده از فعالیت در جامعه توسعه‌دهندگان ما تکمیل شود.

مکان‌های زیادی وجود دارد که یک پروژه می‌تواند اصلاحات امنیتی را در یک نسخه جدید عمومی‌کند:. فید CVE،.

لیست‌های پستی مختلف،. و گروه‌های منبع‌باز،.

یا حتی در یادداشت‌های انتشار یا تغییرات آن. صرف نظر از اینکه پروژه‌ها چگونه این اطلاعات را به اشتراک می‌گذارند،.

برخی از توسعه‌دهندگان در جامعه GitHub این توصیه‌ها را مشاهده می‌کنند و بلافاصله نسخه‌های مورد نیاز وابستگی خود. را به یک نسخه امن شناخته‌شده منتقل می‌کنند.

در صورت شناسایی،. می‌توانیم از اطلاعات موجود در این commit‌ها برای ایجاد هشدارهای امنیتی برای آسیب‌پذیری‌هایی که ممکن است در فید.

CVE منتشر نشده باشند،. استفاده کنیم.

در یک روز متوسط،. نمودار وابستگی می‌تواند حدود 10000 تعهد به فایل‌های وابستگی را برای هر یک از زبان‌های.

پشتیبانی شده ما ردیابی کند. ما نمی‌توانیم به صورت دستی این تعداد تعهد را پردازش کنیم.

درعوض،. ما به اطلاعات ماشینی وابسته هستیم تا آنها را بررسی کنیم و مواردی را که ممکن است به.

یک نسخه امنیتی مرتبط باشند استخراج کنیم. برای این منظور ما یک یادگیری ماشین ایجاد کردیم مدلی که متن مرتبط با commitهای عمومی (پیام.

commit و مسائل مرتبط یا درخواست‌های کششی) را اسکن می‌کند تا موارد مربوط به ارتقاهای امنیتی. احتمالی را فیلتر کند.

با این دسته کوچک‌تر از commit‌ها،. مدل از تفاوت استفاده می‌کند تا بفهمد محدوده‌های نسخه مورد نیاز چگونه تغییر کرده‌اند.

سپس در یک بازه زمانی خاص جمع می‌شود تا دیدی جامع از همه وابستگی‌هایی که انتشار امنیتی ممکن. است بر آن‌ها تأثیر بگذارد به دست آید.

در نهایت،. مدل لیستی از بسته‌ها و محدوده‌های نسخه را خروجی می‌دهد که فکر می‌کند به هشدار نیاز دارد و.

در حال حاضر توسط هیچ CVE شناخته‌شده‌ای در سیستم ما پوشش داده نمی‌شود. همیشه کیفیت متمرکز هیچ مدل یادگیری ماشینی کامل نیست.

در حالی که هوش ماشینی می‌تواند هزاران تعهد را در یک لحظه بررسی کند،. این الگوریتم تشخیص ناهنجاری همچنان برای بسته‌هایی که هیچ وصله امنیتی منتشر نشده است،.

نتایج مثبت کاذب ایجاد می‌کند. کیفیت هشدار امنیتی برای ما تمرکز دارد،.

بنابراین همه خروجی‌های مدل را بررسی می‌کنیم قبل از اینکه جامعه یک هشدار دریافت کند. بیشتر بدانید آیا علاقه مند به یادگیری بیشتر هستید؟

هفته آینده در GitHub Universe به ما بپیوندید تا ارتباطاتی را که فناوری را به جلو می‌برد و. پروژه‌ها را از طریق گفتگوها،.

آموزش‌ها و کارگاه‌ها ایمن نگه می‌دارد،. کشف کنید.

برای اطلاعیه‌ها و به‌روزرسانی‌های بیشتر، از 16 تا 17 اکتبر به وبلاگ سر بزنید. نوشته شده توسط پست‌های مرتبط از GitHub بیشتر کاوش کنید اسناد همه چیزهایی که برای تسلط بر.

GitHub نیاز دارید،. همه در یک مکان.

به Docs بروید GitHub در GitHub آنچه در آینده است بسازید،. مکانی برای هر کسی از هر کجا که بتواند هر چیزی بسازد.

شروع به ساختن کنید داستان‌های مشتری با شرکت‌ها و تیم‌های مهندسی که با GitHub می. سازند آشنا شوید.

بیشتر بدانید پادکست GitHub پادکست GitHub را دنبال کنید،. نمایشی که به،.

روندها،. داستان‌ها و فرهنگ در داخل و اطراف جامعه توسعه دهندگان منبع‌باز در GitHub اختصاص دارد.

حالا گوش کن.

چرا مهم است

اهمیت این خبر در این است که روی استفاده واقعی از AI و تصمیم‌گیری سازمانی اثر می‌گذارد.

منبع

لینک منبع اصلی در کارت و صفحه مقاله نمایش داده می‌شود.