GitHub剛併購了程式碼安全分析平臺Semmle,Semmle發展了語意程式碼分析引擎,能讓開發人員撰寫查詢,在龐大的程式碼庫中辨識程式碼模式,並搜尋漏洞以及漏洞的變體,Semmle分析服務受到Uber、NASA、微軟以及Google等知名企業採用,也已經發現了許多大型程式碼庫中數千個漏洞,而且也為開源專案找出超過100 CVEs漏洞。

Semmle的安全研究人員研究新漏洞,可以用來診斷容易讓程式碼受到攻擊的條件,安全人員會將這些條件寫成簡單的查詢,而這些查詢可以被其他人共享與改進,經過多人協作後,就更容易簡單地移除一大類型的漏洞。Semmle一直希望可以擴大影響力,在開源社群中讓更多專案,都可以經過這些查詢分析,進而使整個生態系更加安全。

GitHub提到,沒有一家公司可以倚靠自己的力量,找到所有漏洞,並保護開源生態系免受漏洞危些,而Semmle是用來辨識和預防安全漏洞最好的方法。GitHub剛好是個社群匯集的地方,安全專家與開發原始碼維護者可以協作查詢,而開源程式碼的使用者,也可以用到安全的程式。研究人員將可以使用Semmle更快地找出程式碼中的臭蟲,而社群間共享查詢,其他程式碼儲存庫的安全也能獲得改進。

Semmle被GitHub併購之後,原本的用戶服務不會受到影響,原本持續安全分析服務LGTM.com仍會繼續為公開儲存庫提供免費的服務,同時Semmle也會繼續開源安全的研究。到目前為止,Semmle已經找出在UBoot、Apache Struts、Linux核心、Memcached、VLC和Apple的XNU等專案共107個CVEs漏洞。

熱門新聞

Advertisement