GitHub 收购程式码分析工具商 Semmle,协助开发人员发现程式码漏洞

2020-06-07 03:16:16编辑:
GitHub 收购程式码分析工具商 Semmle,协助开发人员发现程式码漏洞

微软旗下 GitHub 18 日宣布收购旧金山新创公司 Semmle,后者专门开发用于软体开发程式管理的工程分析解决方案。收购条款尚未披露,但 GitHub 表示,将透过 GitHub Actions 流程自动化工具,让 Semmle 的程式码分析引擎在公共和企业储存库皆可使用。

GitHub 同时还透露,已申请成为 CVE 编号管理者(CVE Numbering Authority,CNA)。至于 CVE,提供有关安全漏洞公开披露资讯的参考。GitHub 表示,程式码贡献者可更容易直接从储存库通报漏洞,他们将分配到一个 CVE ID,发布到 CVE 列表,然后再上传到美国国家漏洞资料库(NVD)。

「过去 20 年,开放原始码取得显着的进展。如今,几乎所有供应商或社群的软体产品都将开放原始码涵括至供应链。我们都从开放原始码模型获益,我们都得发挥促使开放原始码在未来 20 年取得成功的作用,」GitHub 部落格文写道:「这两项声明都是我们保护世界程式码更大战略的一部分。」

已收购 Dependabot 并与 WhiteSource 合作

Semmle 最初于 2006 年从牛津大学研究单位分拆,随即吸引微软、Google、瑞士信贷、美国太空总署(NASA)及和那斯达克(Nasdaq)等注意,并筹集超过 3,100 万美元的风险融资(光 2018 年,新客户数量就成长 2 倍)。Semmle 为开放原始码程式设计人员提供免费的技术版本,以便搭配应用程式一起使用,收购之前,这些程式分析了数万个专案的提交状况。

正如 GitHub 产品资深副总裁 Shanku Niyogi 在部落格文章的解释,Semmle 独特的程式码分析方法能理解複杂的资料结构,并快速发现编码错误的所有变化。使用 Semmle 的研究人员利用称为 QL 的宣告式物件导向查询语言来挖掘大型程式码库的漏洞,并在许多程式码库分享并执行搜寻(有帮助的是,Semmle 发布了 2,000 个查询,涵盖许多已知漏洞及变种)。

Niyogi 表示,到目前为止,已发现超过 100 个储存库的 CVE 使用其方法,包括 U-Boot、Apache Struts、Linux Kernel、Memcached、VLC 与 Apple 的 XNU 等备受瞩目的专案。「我们很高兴能将 Semmle 带给所有开放原始码社群及我们的企业客户,」他补充:「随着社群查询的成长与贡献,使我们能共同致力协助软体更安全。」

几个月前,GitHub 宣布收购 Dependabot,这是一个第三方工具,可自动开启 Pull Request(PR)更新流行程式设计语言的相依性。大约在同时间,GitHub 向企业云(Enterprise Cloud)订户提供普遍可用的依赖性洞察,并发表安全通知,为 GitHub 企业伺服器(Enterprise Server)客户标注依赖性的漏洞。

今年 5 月,GitHub 公布 Beta 版可用性的维护者安全建议和安全策略,为开发人员提供可讨论和发表安全建议的私人空间,以便选择 GitHub 的使用者,而不会有资讯洩露的风险。同一个月,GitHub 表示将与开放原始码安全与授权合规管理平台 WhiteSource 合作,以「扩大」并「深化」对 .NET、Java、JavaScript、Python 及 Ruby 相依性潜在漏洞的覆盖性与修补建议。

上一篇: 下一篇:

相关阅读