GitHub收购Semmle以帮助开发人员发现代码漏洞

微软旗下的GitHub今天宣布,它收购了旧金山初创企业Semmle,后者正在为软件开发过程管理开发一种工程分析解决方案。收购条款尚未披露,但GitHub表示,它将通过GitHub操作工具,让Semmle的代码分析引擎在公共和企业存储库中都可以使用。

GitHub今天上午还透露,它现在是一个常见的漏洞和暴露(CVE)编号机构。(对于初学者来说,CVE系统提供了有关安全漏洞和暴露的公开披露信息的参考。)GitHub表示,代码贡献者可以更容易地直接从存储库报告漏洞,然后他们将被分配一个CVE ID,发布到CVE列表,然后上传到国家漏洞数据库(NVD)。

“在过去的20年里,开源取得了显著的进展。今天,几乎所有来自供应商或社区的软件产品都在其供应链中包含开源代码。我们都从开源模式中受益,我们都在使开源在未来20年取得成功的过程中扮演着重要的角色,”GitHub在一篇博客文章中写道。“这两项声明都是我们保护全球代码安全的更大战略的一部分。”

Semmle最初于2006年从牛津大学的研究中分离出来,并很快吸引了微软、谷歌、瑞士信贷、美国宇航局和纳斯达克等客户,筹集了超过3100万美元的风险资本。(仅去年一年,该公司的新客户数量就增长了两倍。)它为开源程序员提供了一个免费的技术版本,供他们在应用程序中使用,在收购之前,这些程序分析了数万个项目的提交情况。

正如GitHub产品高级副总裁Niyogi Shanku在博客中解释的那样,Semmle独特的代码分析方法使其能够理解复杂的数据结构,并快速发现编码错误的所有变化。使用Semmle的研究人员利用一种称为QL的声明式面向对象查询语言来发现大型代码库中的漏洞,并在许多代码库上共享和运行搜索。(有益的是,Semmle附带了2000个查询,涵盖了许多已知的漏洞及其变体。)

Niyogi说,到目前为止,已经发现了超过100个存储库中的CVE使用了它的方法,包括一些著名的项目,如U-Boot、Apache Struts、Linux内核、Memcached、VLC和苹果的XNU。“我们很高兴能将Semmle带给所有开源社区和我们的企业客户,”他补充道。“随着社区的发展和用户的查询,我们都在帮助提高软件的安全性。”

几个月前,GitHub宣布收购了Dependabot,这是一个第三方工具,可以自动打开pull request来更新流行编程语言中的依赖关系。大约在同一时间,GitHub向GitHub企业云订阅者提供了普遍可用的依赖关系洞察,并广泛发布了安全通知,为GitHub企业服务器客户标记依赖关系中的漏洞和错误。

今年5月,GitHub公布了维护者安全建议和安全策略的beta版可用性,它为开发人员提供了一个私人空间,让他们可以讨论和发布安全建议,以选择GitHub内的用户,而不会有信息泄露的风险。同月,该公司表示将与开源安全和许可遵从性管理平台WhiteSource合作,以“扩大”和“深化”其对. net、Java、JavaScript、Python和Ruby依赖关系中潜在漏洞的覆盖和修复建议。

发表评论

电子邮件地址不会被公开。 必填项已用*标注