微软旗下 GitHub 18 日宣布收购旧金山新创公司 Semmle,后者专门开发用于软件开发程式管理的工程分析解决方案。收购条款尚未披露,但 GitHub 表示,将透过 GitHub Actions 流程自动化工具,让 Semmle 的程式码分析引擎在公共和企业储存库皆可使用。
GitHub 同时还透露,已申请成为 CVE 编号管理者(CVE Numbering Authority,CNA)。至于 CVE,提供有关安全漏洞公开披露资讯的参考。GitHub 表示,程式码贡献者可更容易直接从储存库通报漏洞,他们将分配到一个 CVE ID,发布到 CVE 列表,然后再上传到美国国家漏洞数据库(NVD)。
“过去 20 年,开放源代码取得显著的进展。如今,几乎所有供应商或社群的软件产品都将开放源代码涵括至供应链。我们都从开放源代码模型获益,我们都得发挥促使开放源代码在未来 20 年取得成功的作用,”GitHub 部落格文写道:“这两项声明都是我们保护世界程式码更大战略的一部分。”
已收购 Dependabot 并与 WhiteSource 合作
Semmle 最初于 2006 年从牛津大学研究单位分拆,随即吸引微软、Google、瑞士信贷、美国太空总署(NASA)及和那斯达克(Nasdaq)等注意,并筹集超过 3,100 万美元的风险融资(光 2018 年,新客户数量就成长 2 倍)。Semmle 为开放源代码程式设计人员提供免费的技术版本,以便搭配应用程序一起使用,收购之前,这些程式分析了数万个专案的提交状况。
正如 GitHub 产品资深副总裁 Shanku Niyogi 在部落格文章的解释,Semmle 独特的程式码分析方法能理解复杂的资料结构,并快速发现编码错误的所有变化。使用 Semmle 的研究人员利用称为 QL 的宣告式物件导向查询语言来挖掘大型程式码库的漏洞,并在许多程式码库分享并执行搜寻(有帮助的是,Semmle 发布了 2,000 个查询,涵盖许多已知漏洞及变种)。
Niyogi 表示,到目前为止,已发现超过 100 个储存库的 CVE 使用其方法,包括 U-Boot、Apache Struts、Linux Kernel、Memcached、VLC 与 Apple 的 XNU 等备受瞩目的专案。“我们很高兴能将 Semmle 带给所有开放源代码社群及我们的企业客户,”他补充:“随着社群查询的成长与贡献,使我们能共同致力协助软件更安全。”
几个月前,GitHub 宣布收购 Dependabot,这是一个第三方工具,可自动开启 Pull Request(PR)更新流行程式设计语言的相依性。大约在同时间,GitHub 向企业云(Enterprise Cloud)订户提供普遍可用的依赖性洞察,并发表安全通知,为 GitHub 企业服务器(Enterprise Server)客户标注依赖性的漏洞。
今年 5 月,GitHub 公布 Beta 版可用性的维护者安全建议和安全策略,为开发人员提供可讨论和发表安全建议的私人空间,以便选择 GitHub 的使用者,而不会有资讯泄露的风险。同一个月,GitHub 表示将与开放源代码安全与授权合规管理平台 WhiteSource 合作,以“扩大”并“深化”对 .NET、Java、JavaScript、Python 及 Ruby 相依性潜在漏洞的覆盖性与修补建议。
- GitHub acquires Semmle to help developers spot code exploits
(首图来源:Flickr/Ben Scholzen CC BY 2.0)
