GitHub收购Semmle以帮助开发人员发现代码漏洞

 
微软旗下的GitHub今天宣布收购Semmle，这是一家旧金山的初创公司，为软件开发过程管理开发工程分析解决方案。购买条款尚未披露，但GitHub表示，它将通过其GitHub Actions工具在公共和企业存储库中提供Semmle的代码分析引擎。
GitHub今天早上还透露，它现在是一个常见的漏洞和暴露(CVE)编号机构。 (对于初学者，CVE系统提供了有关安全漏洞和暴露的公开披露信息的参考。)展望未来，GitHub表示代码贡献者将更容易直接从存储库报告漏洞，之后他们将被分配一个CVE ID，发布到CVE列表，然后上传到国家漏洞数据库(NVD)。
“在过去的20年里，开源已经取得了令人瞩目的成就。如今，几乎所有供应商或社区的软件产品都在其供应链中包含开源代码。我们都受益于开源模式，我们都可以在未来20年成功地使开源成功，“GitHub在一篇博文中写道。 “这两个公告都是我们保护世界代码的更大战略的一部分。”
Semmle最初于2006年在牛津大学开展研究，不久之后吸引了微软，谷歌，瑞士信贷，NASA和纳斯达克等客户，并筹集了超过3100万美元的风险投资。 (仅去年一年，新客户就增加了两倍。)它为开源程序员提供了一个免费的技术版本，可以与他们的应用程序一起使用，在收购之前分析了成千上万个项目的提交。
正如GitHub产品的高级副总裁Shanku Niyogi在博客文章中解释的那样，Semmle独特的代码分析方法使其能够理解复杂的数据结构并快速发现编码错误的所有变化。使用Semmle的研究人员利用一种称为QL的声明性，面向对象的查询语言来消除大型代码库中的漏洞，并在许多代码库中共享和运行搜索。 (有帮助的是，Semmle发布了2,000个查询，涵盖了许多已知漏洞及其变种。)
Niyogi表示，到目前为止，已经使用其方法发现了超过100个存储库中的CVE，包括U-Boot，Apache Struts，Linux内核，Memcached，VLC和Apple的XNU等高端项目。 “我们很高兴能将Semmle带到所有开源社区和我们的企业客户，”他补充道。 “随着社区的发展和贡献，我们都帮助提高软件的安全性。”
这些最新的发展是在GitHub发现它已经收购了Dependabot之后的几个月，Dependabot是第三方工具，可以自动打开拉动请求以更新流行编程语言中的依赖项。大约在同一时间，GitHub通常可以向GitHub Enterprise Cloud订户提供依赖性洞察，并且它广泛地发布了安全通知，标记了GitHub Enterprise Server客户的依赖性漏洞和漏洞。
今年5月，GitHub发布了维护者安全建议和安全策略的beta版本，为开发人员提供了一个私人空间，可以在GitHub中选择用户讨论和发布安全建议，而不会有信息泄露的风险。同月，该公司表示将与开源安全和许可合规管理平台WhiteSource合作，以“扩大”和“深化”其对.NET，Java，JavaScript，Python和Ruby依赖项中潜在漏洞的覆盖和补救建议。 。