微软收购 Semmle，GitHub 变身CVE 编号管理机构

刚刚，随着微软完成对 Semmle 代码分析平台的收购，GitHub 宣布已成为 CVE 编号管理机构。

Semmle 的分析引擎 QL 简化了在大量代码库中查找相同编程错误变体的进程，从而能够使安全研究人员更快地发现安全漏洞问题。

GitHub 计划将 Semmle 的 QL 技术集成到服务中，为用户改进代码开发和漏洞披露流程。

Semmle 将源代码当做数据来对待，并能够比传统的代码分析方法以更快的速度找到整个漏洞类型。该产品已应用于大型组织机构如谷歌、优步、微软和 NASA。

GitHub 的产品高级副总裁 Shanku Niyogi 表示，“安全研究人员通过一个 QL 查询来识别漏洞及其变体。这种查询是可以在很多代码库中共享并运行的，从而解放了安全研究人员，让他们去做自己热爱并擅长的挖掘新漏洞工作。”

GitHub 计划将 Semmle 集成到自身服务中并为3600万名开发人员提供在产品发布前就检查代码bug 的服务。目前这一服务正处于早期阶段。

从今天开始，GitHub 已成为 CVE 编号管理机构（或简称为 CNA），简言之，它能够为漏洞分配 CVE 编号了。

现在，研究人员能够在GitHub 上更快地查询开放的安全公告，而研究人员、维护人员和开发人员能够更好地协作修复安全问题。

值得注意的是，GitHub 已经从所收到的报告中找到了漏洞，目的是在发布警告信息前确认漏洞影响和受影响的用户情况。

这种自动的安全修复功能是在收购了提供自动化依赖关系更新（Ruby、Python、JavaScript、PHP、.NET、Go、Elixir、Rust、Java 和 Elm）服务的 Dependabot 之后发布的。从此开发人员不必手动修复依赖关系了。

GitHub 通过这一系列服务变化，增强了其在网络安全领域的作用，通过更快地发现开发人员项目中的漏洞、追踪 bug 并自动化修复依赖关系的方式为庞大的开发人员群体更好地提供服务。

原文链接

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”