GitHub 收購程式碼分析工具商 Semmle,協助開發人員發現程式碼漏洞

作者 | 發布日期 2019 年 09 月 19 日 10:29 | 分類 新創 , 社群 , 財經 follow us in feedly


微軟旗下 GitHub 18 日宣布收購舊金山新創公司 Semmle,後者專門開發用於軟體開發程式管理的工程分析解決方案。收購條款尚未披露,但 GitHub 表示,將透過 GitHub Actions 流程自動化工具,讓 Semmle 的程式碼分析引擎在公共和企業儲存庫皆可使用。

GitHub 同時還透露,已申請成為 CVE 編號管理者(CVE Numbering Authority,CNA)。至於 CVE,提供有關安全漏洞公開披露資訊的參考。GitHub 表示,程式碼貢獻者可更容易直接從儲存庫通報漏洞,他們將分配到一個 CVE ID,發布到 CVE 列表,然後再上傳到美國國家漏洞資料庫(NVD)。

「過去 20 年,開放原始碼取得顯著的進展。如今,幾乎所有供應商或社群的軟體產品都將開放原始碼涵括至供應鏈。我們都從開放原始碼模型獲益,我們都得發揮促使開放原始碼在未來 20 年取得成功的作用,」GitHub 部落格文寫道:「這兩項聲明都是我們保護世界程式碼更大戰略的一部分。」

已收購 Dependabot 並與 WhiteSource 合作

Semmle 最初於 2006 年從牛津大學研究單位分拆,隨即吸引微軟、Google、瑞士信貸、美國太空總署(NASA)及和那斯達克(Nasdaq)等注意,並籌集超過 3,100 萬美元的風險融資(光 2018 年,新客戶數量就成長 2 倍)。Semmle 為開放原始碼程式設計人員提供免費的技術版本,以便搭配應用程式一起使用,收購之前,這些程式分析了數萬個專案的提交狀況。

正如 GitHub 產品資深副總裁 Shanku Niyogi 在部落格文章的解釋,Semmle 獨特的程式碼分析方法能理解複雜的資料結構,並快速發現編碼錯誤的所有變化。使用 Semmle 的研究人員利用稱為 QL 的宣告式物件導向查詢語言來挖掘大型程式碼庫的漏洞,並在許多程式碼庫分享並執行搜尋(有幫助的是,Semmle 發布了 2,000 個查詢,涵蓋許多已知漏洞及變種)。

Niyogi 表示,到目前為止,已發現超過 100 個儲存庫的 CVE 使用其方法,包括 U-Boot、Apache Struts、Linux Kernel、Memcached、VLC 與 Apple 的 XNU 等備受矚目的專案。「我們很高興能將 Semmle 帶給所有開放原始碼社群及我們的企業客戶,」他補充:「隨著社群查詢的成長與貢獻,使我們能共同致力協助軟體更安全。」

幾個月前,GitHub 宣布收購 Dependabot,這是一個第三方工具,可自動開啟 Pull Request(PR)更新流行程式設計語言的相依性。大約在同時間,GitHub 向企業雲(Enterprise Cloud)訂戶提供普遍可用的依賴性洞察,並發表安全通知,為 GitHub 企業伺服器(Enterprise Server)客戶標註依賴性的漏洞。

今年 5 月,GitHub 公布 Beta 版可用性的維護者安全建議和安全策略,為開發人員提供可討論和發表安全建議的私人空間,以便選擇 GitHub 的使用者,而不會有資訊洩露的風險。同一個月,GitHub 表示將與開放原始碼安全與授權合規管理平台 WhiteSource 合作,以「擴大」並「深化」對 .NET、Java、JavaScript、Python 及 Ruby 相依性潛在漏洞的覆蓋性與修補建議。

(首圖來源:Flickr/Ben Scholzen CC BY 2.0)