GitHub покупает Semmle и становится центром нумерации CVE


GitHub приобрел компанию по анализу кода Semmle и сделает механизм анализа кода Semmle доступным для всех общедоступных репозиториев. GitHub также стал центром нумерации общих уязвимостей и уязвимостей (CVE), что упрощает отправку отчетов об уязвимостях непосредственно из ваших репозиториев.

GitHub покупает Semmle

Основной продукт Semmle, QL, представляет собой инструмент анализа кода, который вы можете использовать для поиска потенциальных уязвимостей в вашем коде. У него есть язык запросов, который вы можете использовать для написания и выполнения запросов QL локально из большинства IDE с помощью плагина QL, или есть консоль запросов для использования в вашем веб-браузере. Команда Semmle сообщает, что QL выполняет анализ вариантов, при котором известная уязвимость используется в качестве начального числа для поиска аналогичных проблем в вашем коде. QL поставляется с библиотеками для управления и анализа потока данных, отслеживания заражений и изучения известных моделей угроз. Поддерживаемые языки включают C/C++, C#, Java, JavaScript и Python.

QL также используется в другом основном продукте Semmle, LGTM (Мне нравится). который анализирует каждую фиксацию для раннего выявления уязвимостей. LGTM автоматически выполняет более 1600 стандартных анализов при каждом изменении кода. GitHub планирует сделать QL доступным через GitHub Actions. По словам Семмле, с помощью QL было обнаружено более 100 CVE с открытым исходным кодом.

В соответствующем объявлении GitHub сообщил, что он стал центром нумерации CVE для проектов с открытым исходным кодом. Нумерационные органы по общим уязвимостям и уязвимостям (CVE) уполномочены назначать идентификаторы CVE уязвимостям, влияющим на продукты в определенной области — в данном случае это проекты с открытым исходным кодом. Затем идентификаторы CVE включаются в первые публичные объявления о новых уязвимостях. Тот факт, что GitHub является центром нумерации CVE, упростит разработчикам кода возможность сообщать об уязвимостях непосредственно из своих репозиториев. GitHub назначит идентификатор CVE, отправит сообщение в список CVE, а затем в Национальную базу данных уязвимостей (NVD) от имени разработчика.

Комментируя анонсы, Шанку Нийоги, старший вице-президент GitHub, сказал:

Мы считаем, что быстрое и неограниченное перемещение данных об уязвимостях имеет решающее значение для повышения безопасности программного обеспечения


Добавить комментарий