GitHub使用Semmle代码分析引擎自动发现漏洞

软件开发平台GitHub Inc.在收购了一家名为Semmle Ltd.的公司后，正在让安全研究人员更容易地识别代码中的漏洞。

Semmle已经构建了GitHub所说的“革命性的代码分析引擎”，它通过对整个代码库执行“变体分析”来发现可能导致漏洞的错误。

这种代码检查通常由安全研究人员通过集成开发环境使用grep或AWK等工具手动执行。这通常是一个繁琐的过程，它要求安全研究人员既要对代码库有深入的了解，又要对各种威胁模型有很好的理解。

GitHub表示，这使得变体分析成为一项挑战，因为大多数软件组织实际上没有任何安全研究人员。此外，开发人员本身通常不具备发现漏洞的能力。因此，现在需要的是一个能够自动执行大部分流程的平台，以便更容易地发现漏洞。

这就是Semmle的代码分析引擎发挥作用的地方。该平台将代码视为数据，并将“编译器优化方面的最新研究”与“数据库实现方面的深入研究”结合起来，这样就可以使用声明式的、面向对象的查询语言来查询代码，这与查询数据库以获得深入研究的方式类似。

这应该是有用的，因为许多漏洞是由同一类型的编码错误造成的，GitHub说。使用Semmle，可以从一个查询中找到所有编码错误的变体，然后一举消除数百个漏洞。

GitHub在一篇博文中写道:“就像关系型数据库可以让人们很容易地就数据提出非常复杂的问题一样，Semmle也可以让研究人员更容易地快速识别大型代码库中的安全漏洞。”

Constellation Research Inc.的分析师Holger Mueller说，Semmle的能力很重要，因为现在很多药库更像“大型医药仓库”，很多代码都被遗忘了。

穆勒说:“但是，我们需要不断地监控这些代码的相关性、功能准备情况和安全性。”“因此，自动代码扫描是做到这一点的关键。”

GitHub表示，Semmle的代码分析引擎现在可以在GitHub上的所有公共存储库中使用，而且适用于所有企业客户。

除了这个新工具，GitHub说它已经成为一个官方的公共漏洞和暴露编号权威，这将使代码维护者更容易直接从他们的代码库报告漏洞。

CVE编号机构是被授权将CVE id分配给在其各自的、商定的范围内影响产品的漏洞的组织，用于首次公开发布新漏洞。然后根据需要向研究人员、漏洞消除者和信息技术公司提供CVE id。

“GitHub将分配一个CVE ID，发布到CVE列表，然后代表开发者发布到国家漏洞数据库(NVD)，”GitHub在一篇博客文章中写道。“通过让这个过程变得简单，并且是GitHub的原生体验，GitHub相信会有更多的漏洞被暴露出来，然后更快地向受影响的团队发出警报。”

Mueller说:“成为CVE对GitHub来说是有利的，因为任何被发现的漏洞现在都可以进行通信和跟踪。”