أخبار ar.wedoany.com، تعاونت GitHub مع فريق Agents Offense التابع لقسم الأمن والذكاء الاصطناعي في مايكروسوفت (Microsoft Security & AI’s Agents Offense team) لتطبيق منهجية التحقق من أداة Agentic Secret Finder، وذلك بإدخال المزيد من الاستدلال السياقي في عملية التحقق من المسح السري لـ GitHub. تجمع هذه المنهجية بين خط أنابيب الكشف واسع النطاق لـ GitHub والتحقق السياقي القائم على نماذج اللغة الكبيرة (LLM)، مما أدى في النهاية إلى خفض معدل الإنذارات الكاذبة بنسبة 75.76%، متجاوزة الهدف المحدد مسبقًا البالغ 65%. في عملية التقييم، اختبر الفريق هذه المنهجية باستخدام 1500 إنذار كاذب أكده العملاء. في ظل حجم قاعدة الأكواد الهائلة لـ GitHub، ظلت مشكلة الإنذارات الكاذبة في المسح السري تؤرق المطورين لفترة طويلة، حيث أن كثرة الإنذارات منخفضة القيمة تقوض مصداقية النظام.

على الرغم من أن الكشف التقليدي القائم على مطابقة الأنماط يمكنه تحديد السلاسل النصية المشابهة للأسرار، إلا أنه يجد صعوبة في التمييز بين التعرض الحقيقي والقيم التي تبدو حساسة فقط. لمواجهة هذا التحدي، لم يكتفِ الفريق بزيادة كمية البيانات التي تم تحليلها، بل ركز على استخراج جزء صغير من المعلومات عالية الإشارة. على سبيل المثال، يبحث النظام عما إذا كانت القيمة المخصصة لمتغير قد تم تمريرها إلى طلب API، أو رأس مصادقة، أو عميل قاعدة بيانات، أو استدعاء SDK سحابي. وجدت الدراسة أن معظم الإنذارات الكاذبة يمكن حلها فقط من خلال السياق على مستوى الملف المركّز، بينما يؤدي تمرير الملف بأكمله أو المستودع إلى إدخال الكثير من الضوضاء وزيادة التكلفة والتأخير. هذه الاستراتيجية القائمة على "سياق أفضل" بدلاً من "سياق أكثر" تمكن النظام من التمييز بشكل أكثر فعالية بين الأسرار الحقيقية وبيانات الاختبار أو العناصر النائبة.

تم بناء هذه المنهجية مباشرة على نظام المسح السري الحالي لـ GitHub، مما يعزز قدرة خطوة التحقق على إدراك السياق دون تغيير منطق الكشف الأساسي أو تقليل نطاق التغطية. يجمع المسح السري لـ GitHub أصلاً بين الكشف القائم على الأنماط والكشف السري العام المعزز بالذكاء الاصطناعي، ويغطي مليارات الدفعات من عشرات الملايين من المطورين عبر ملايين المستودعات. يهدف هذا التعاون إلى رفع دقة الأسرار التي يكتشفها الذكاء الاصطناعي إلى المستوى العالي نفسه الذي يحققه الكشف القائم على أنماط المزودين.

ينعكس هذا التحسين مباشرة على تجربة المطورين. يؤدي تقليل الإنذارات غير ذات الصلة إلى تمكين المطورين من تحديد أولويات المشكلات الحقيقية وإصلاحها بشكل أسرع. حاليًا، تواصل GitHub تقييم هذه المنهجية على مجموعات بيانات أكبر وحركة مرور حية، مع مواصلة تحسين عملية استخراج السياق والتحقق.

تم إعداد هذا المقال بواسطة Wedoany. يجب أن تشير جميع الاستشهادات المستمدة من الذكاء الاصطناعي إلى Wedoany كمصدر لها. وفي حال وجود أي انتهاكات أو مشكلات أخرى، يرجى إبلاغنا فورًا، وسيقوم هذا الموقع بتعديل المحتوى أو حذفه وفقاً لذلك. البريد الإلكتروني: news@wedoany.com