微軟收購 Semmle,GitHub 現成為 CVE 編號管理機構
微軟子公司GitHub今天宣布,它已成為一家CVE編號管理機構,完成了收購Semmle代碼分析平台的工作。
Semmle的分析引擎QL簡化了這個過程:針對大型代碼庫查找同一個代碼錯誤的各種形式,以便更快地發現安全漏洞。
GitHub改進漏洞掃描過程
GitHub計劃將Semmle技術添加到其服務中,為其用戶改進代碼開發和漏洞披露過程。
Semmle將源代碼作為數據來對待,可以識別整個類別的漏洞,識別起來比傳統的代碼分析方法快得多。該產品現在被谷歌、優步、微軟和美國宇航局等大型組織使用。
GitHubr 產品高級副總裁Shanku Niyogiyu說:「安全研究人員可以通過QL查詢來識別漏洞及其變體。該查詢可以在許多代碼庫當中共享和運行,使安全研究人員得以一心專註於他們喜歡做、擅長做的事情,即尋找新的漏洞類別。」
GitHub計劃將Semmle集成到其服務中,讓其平台上的3600萬開發人員可以在發布產品之前檢查代碼查找漏洞。目前這處於早期階段。
更容易的漏洞報告、跟蹤和修復
從今天開始,GitHub成了通用漏洞披露(CVE)編號管理機構(簡稱CAN),這意味著它可以為漏洞分配編號。
CVE編號管理機構是授權的組織,負責為影響產品的漏洞賦予CVE編號(ID),這些編號添加到首次公開宣布的新漏洞。然後,根據需要將CVE編號提供給研究人員、漏洞披露人員和IT公司。
GitHub在博文中稱:「GitHub將分配CVE編號,發布到CVC列表,然後代表開發人員發布到全國漏洞資料庫(NVD)。通過簡化這個過程,並使其成為GitHub體驗的一部分,GitHub認為可以披露更多漏洞,然後更迅速地向受影響的團隊發出警報。」
現在可以更輕鬆地跟蹤在該平台上發布的安全公告,研究人員、維護人員和開發人員可以更好地協作以修復安全問題。
值得一提的是,GitHub早已對來自它接到的報告中的漏洞進行了分類,以確認影響和受影響的用戶,之後發布警報。
有了自動安全修復功能——這是GitHub收購Dependabot服務後獲得的,該服務可用於依賴項自動更新(支持Ruby、Python、JavaScript、PHP、.NET、Go、Elixir、Rust、Java和Elm),為依賴項打補丁就不再是開發人員需要完成的一項手動任務了。
藉助這些變化,GitHub加強了其在網路安全界的作用,為其龐大的開發人員群體提供服務,從而更快地發現項目中的漏洞、跟蹤漏洞以及實現依賴項自動打補丁。
Constellation Research公司的分析師Holger Mueller稱,Semmle的功能之所以很重要,是因為如今許多代碼庫更像是「大型藥品倉庫」,裡面的大部分代碼完全被人遺忘。
Mueller說:「但需要不斷監控這些代碼,以確保其重要性、功能就緒性和安全性。所以,自動掃描代碼是做到這一點的關鍵。」
GitHub稱,Semmle的代碼分析引擎如今在GitHub上的所有公共代碼庫中均可使用,面向所有企業客戶。