GitHub刚并购了程序代码安全分析平台Semmle,Semmle发展了语义程序代码分析引擎,能让开发人员撰写查询,在庞大的程序代码库中识别程序代码模式,并搜索漏洞以及漏洞的变体,Semmle分析服务受到Uber、NASA、微软以及Google等知名企业采用,也已经发现了许多大型程序代码库中数千个漏洞,而且也为开源项目找出超过100 CVEs漏洞。
Semmle的安全研究人员研究新漏洞,可以用来诊断容易让程序代码受到攻击的条件,安全人员会将这些条件写成简单的查询,而这些查询可以被其他人共享与改进,经过多人协作后,就更容易简单地移除一大类型的漏洞。Semmle一直希望可以扩大影响力,在开源社群中让更多项目,都可以经过这些查询分析,进而使整个生态系统更加安全。
GitHub提到,没有一家公司可以依靠自己的力量,找到所有漏洞,并保护开源生态系统免受漏洞危些,而Semmle是用来识别和预防安全漏洞最好的方法。GitHub刚好是个社群汇集的地方,安全专家与开发源码维护者可以协作查询,而开源程序代码的用户,也可以用到安全的程序。研究人员将可以使用Semmle更快地找出程序代码中的bug,而社群间共享查询,其他程序代码存储库的安全也能获得改进。
Semmle被GitHub并购之后,原本的用户服务不会受到影响,原本持续安全分析服务LGTM.com仍会继续为公开存储库提供免费的服务,同时Semmle也会继续开源安全的研究。到目前为止,Semmle已经找出在UBoot、Apache Struts、Linux核心、Memcached、VLC和Apple的XNU等项目共107个CVEs漏洞。