微软收购Semmle,GitHub现在是CVE编号机构

微软子公司GitHub  9月18日宣布,它已成为CVE编号管理局,并完成了对Semmle代码分析平台的收购。

Semmle的分析引擎QL简化了在大型代码库中查找相同编码错误变体的过程,从而可以更快地发现安全漏洞。

GitHub改进了bug扫描过程

GitHub计划将Semmle技术添加到其服务中,并为其用户改进代码开发和漏洞披露流程。

Semmle将源代码视为数据,并且可以比传统的代码分析方法更快地识别整个漏洞类。该产品现在被谷歌,优步,微软和美国宇航局等大型组织使用。

“安全研究人员通过QL查询识别漏洞及其变体。这个查询可以在许多代码库中共享和运行,从而使安全研究人员能够做他们喜欢和做得最好的事情:寻找新的漏洞类别。” – Shanku Niyogi,GitHub产品高级副总裁

GitHub计划将Semmle集成到其服务中,并为该平台上的3600万开发人员提供在发布产品之前检查其代码是否存在错误的可能性。目前处于早期阶段。

更容易的错误报告,跟踪和修复

从今天开始,GitHub是一个常见的漏洞和暴露(CVE)编号机构,简称CNA,这意味着它可以为漏洞分配标识符。

现在可以更轻松地跟踪在平台上打开的安全建议,研究人员,维护人员和开发人员可以更好地协作解决安全问题。

值得注意的是,GitHub已经从收到的报告中分类了漏洞,以确认影响并在发布警报之前影响用户。

自动安全修复功能,在获取Dependabot  服务以获取自动依赖更新(Ruby,Python,JavaScript,PHP,.NET,Go,Elixir,Rust,Java和Elm)之后,修补依赖项不再是手动任务开发人员。

通过这些变化,GitHub加强了其在网络安全中的作用,提供了巨大的开发人员基础服务,可以更快地发现项目中的漏洞,跟踪错误以及自动化依赖修补。

发表评论