GitHub анонсировал запуск системы автоматического сканирования публикуемого кода на наличие в нем распространенных уязвимостей.
Сейчас новинка проходит стадию тестирования и работает только с языками JavaScript и TypeScript. Разработчики обновленной платформы отмечают, что вместо проверки стандартных шаблонов кода, они использовали натренированную нейросеть, способную выявлять ошибки типа XSS (межсайтовый скриптинг) или искажения путей в файловой системе.
Предупреждения системы Code scanning. Изображение: github.blog
Еще одно важное преимущество системы Code scanning – проактивность. Сканирование кода на наличие ошибок или уязвимостей является не отдельной операцией, которую надо запускать вручную, а автоматической проверкой, включающейся каждый раз, когда разработчик использует команду git push. Это значит, что большую часть проблем можно будет выявить еще на ранних этапах разработки, что упростит отладку и позволит многим программистам изначально писать более надежный и эффективный код.
Но у Code scanning есть и недостатки. В первую очередь речь идет о ложных срабатываниях. В текущий момент система может признать за ошибку даже вполне надежный код. Вероятно, это связано с тем, что сервис находится в стадии тестирования.
Комментарии