微软子公司18日宣布完成代码分析平台Semmle的收购工作,正式成为CVE编号授权机构。

Semmle是牛津大学分离出的一家子公司,2018年8月获得2100万美元B轮融资,融资后,Semmle的融资总额将达到3100万美元。

Semmle的分析引擎QL可以在大量的代码库中找出相同编码错误的变种,即可以更快地发现安全漏洞。

 

GitHub改善漏洞扫描进程

GitHub计划将Semmle技术添加到现有服务中,并改善代码开发和漏洞公布过程。Semmle以源码为数据,可以比原有代码分析方法更快的识别完整的漏洞类。目前谷歌、Uber、微软、NASA等大型公司和机构都在使用该产品。

GitHub产品SVP称,安全研究人员可以用QL查询来找出漏洞和其变种。查询还可以在多个代码库之间运行和共享,可以让安全研究人员找出更多的漏洞和一些新的漏洞。

GitHub计划将Semmle融入到现有服务中,并向平台的3600万开发者提供在产品发布前检查代码安全漏洞的能力。但该计划仍然处于早期。

 

漏洞提交、追踪和修复更容易

从即日起, GitHub将正式成为CVE编号授权机构(CNA),也就是说GitHub可以为漏洞分配CVE编号了。

平台的安全公告追踪起来更容易,安全研究人员、开发人员和维护人员也可以更好地协作来修复安全漏洞。

GitHub已经对提交的漏洞在发布安全告警前进行分类,确认影响和受影响的用户。
对开发者来说,有了自动依赖更新的Dependabot服务(自动安全修复特征)后,依赖库(Ruby, Python, JavaScript, PHP, .NET, Go, Elixir, Rust, Java, Elm) 的漏洞修复将自动完成,无需手动修复。

GitHub称通过这些变化将为平台的开发者提供发现漏洞的基础服务,使漏洞追踪、自动化依赖库漏洞修复更加快速。

文章原文链接:https://www.anquanke.com/post/id/186976