GitHub 收购程式码分析工具商 Semmle,协助开发人员发现程式码漏洞

GitHub 收购程式码分析工具商 Semmle,协助开发人员发现程式码漏洞

微软旗下 GitHub 18 日宣布收购旧金山新创公司 Semmle,后者专门开发用于软体开发程式管理的工程分析解决方案。收购条款尚未披露,但 GitHub 表示,将透过 GitHub Actions 流程自动化工具,让 Semmle 的程式码分析引擎在公共和企业储存库皆可使用。

GitHub 同时还透露,已申请成为 CVE 编号管理者(CVE Numbering Authority,CNA)。至于 CVE,提供有关安全漏洞公开披露资讯的参考。GitHub 表示,程式码贡献者可更容易直接从储存库通报漏洞,他们将分配到一个 CVE ID,发布到 CVE 列表,然后再上传到美国国家漏洞资料库(NVD)。

「过去 20 年,开放原始码取得显着的进展。如今,几乎所有供应商或社群的软体产品都将开放原始码涵括至供应链。我们都从开放原始码模型获益,我们都得发挥促使开放原始码在未来 20 年取得成功的作用,」GitHub 部落格文写道:「这两项声明都是我们保护世界程式码更大战略的一部分。」

已收购 Dependabot 并与 WhiteSource 合作

Semmle 最初于 2006 年从牛津大学研究单位分拆,随即吸引微软、Google、瑞士信贷、美国太空总署(NASA)及和那斯达克(Nasdaq)等注意,并筹集超过 3,100 万美元的风险融资(光 2018 年,新客户数量就成长 2 倍)。Semmle 为开放原始码程式设计人员提供免费的技术版本,以便搭配应用程式一起使用,收购之前,这些程式分析了数万个专案的提交状况。

正如 GitHub 产品资深副总裁 Shanku Niyogi 在部落格文章的解释,Semmle 独特的程式码分析方法能理解複杂的资料结构,并快速发现编码错误的所有变化。使用 Semmle 的研究人员利用称为 QL 的宣告式物件导向查询语言来挖掘大型程式码库的漏洞,并在许多程式码库分享并执行搜寻(有帮助的是,Semmle 发布了 2,000 个查询,涵盖许多已知漏洞及变种)。

Niyogi 表示,到目前为止,已发现超过 100 个储存库的 CVE 使用其方法,包括 U-Boot、Apache Struts、Linux Kernel、Memcached、VLC 与 Apple 的 XNU 等备受瞩目的专案。「我们很高兴能将 Semmle 带给所有开放原始码社群及我们的企业客户,」他补充:「随着社群查询的成长与贡献,使我们能共同致力协助软体更安全。」

几个月前,GitHub 宣布收购 Dependabot,这是一个第三方工具,可自动开启 Pull Request(PR)更新流行程式设计语言的相依性。大约在同时间,GitHub 向企业云(Enterprise Cloud)订户提供普遍可用的依赖性洞察,并发表安全通知,为 GitHub 企业伺服器(Enterprise Server)客户标注依赖性的漏洞。

今年 5 月,GitHub 公布 Beta 版可用性的维护者安全建议和安全策略,为开发人员提供可讨论和发表安全建议的私人空间,以便选择 GitHub 的使用者,而不会有资讯洩露的风险。同一个月,GitHub 表示将与开放原始码安全与授权合规管理平台 WhiteSource 合作,以「扩大」并「深化」对 .NET、Java、JavaScript、Python 及 Ruby 相依性潜在漏洞的覆盖性与修补建议。

Related Posts