Github annonce sur son blog avoir lancé des fonctionnalités expérimentales d'analyse de code optimisées, susceptibles de trouver davantage de vulnérabilités de sécurité potentielles en exploitant un nouveau modèle d'apprentissage en profondeur.
Cette fonctionnalité est disponible en version bêta publique pour les référentiels JavaScript et TypeScript.
« Grâce aux nouvelles capacités d'analyse, l'analyse de code peut générer encore plus d'alertes pour quatre modèles de vulnérabilité courants : cross-site scripting (XSS), path injection, NoSQL injection, et SQL injection. »
Pour configurer l'analyse pour votre code JavaScript/TypeScript, vous pouvez suivre ces instructions, ainsi que lire cet autre article qui décrit comment Github a développé ses modèles d'apprentissage en profondeur.
« Il est important de noter que même si nous continuons à améliorer et à tester nos modèles d'apprentissage automatique, cette nouvelle analyse expérimentale peut avoir un taux de faux positifs plus élevé par rapport aux résultats de notre analyse CodeQL standard », prévient le billet. « Comme avec la plupart des modèles d'apprentissage automatique, les résultats s'amélioreront avec le temps ».
Commentaires (3)
#1
« Comme avec la plupart des modèles d’apprentissage automatique, les résultats s’amélioreront avec le temps »
Pour travailler sur de l’IA je peux vous dire que cette phrase est en partie utilisée pour permettre le déploiement et surtout la communication sur un produit qui n’a pas (encore) atteint les objectifs voulu.
“On n’atteint pas encore les objectifs mais en fait c’est juste que l’IA doit apparendre, c’est normal, donc on déploie”.
#2
Générer des faux positifs c’est le meilleur moyen pour que tout le monde ignore les messages.
Un peu comme les warnings des compilateurs…
#2.1
Sur une beta, ça peut être acceptable en prévenant comme ici.
Si il y a trop de faux positifs, tu arrêtes d’utiliser la beta et tu attends la sortie du produit.