您的位置: 首頁 >互聯(lián)網(wǎng) >

GitHub使用Semmle代碼分析引擎自動發(fā)現(xiàn)漏洞

2020-05-08 15:14:45 編輯: 來源:
導(dǎo)讀 軟件開發(fā)平臺GitHub Inc 在收購了一家名為Semmle Ltd 的公司后,正在讓安全研究人員更容易地識別代碼中的漏洞。 Semmle已經(jīng)構(gòu)建了GitHub所說的“革命性的代碼分析引擎”,它通過對整個代碼庫執(zhí)行“變體分析”來發(fā)現(xiàn)可能導(dǎo)致漏洞的錯誤。 這種代碼檢查通常由安全研究人員通過集成開發(fā)環(huán)境使用grep或AWK等工具手動執(zhí)行。這通常是一個繁瑣的過程,它要求安全研究人員既要對代碼庫有深

軟件開發(fā)平臺GitHub Inc.在收購了一家名為Semmle Ltd.的公司后,正在讓安全研究人員更容易地識別代碼中的漏洞。

Semmle已經(jīng)構(gòu)建了GitHub所說的“革命性的代碼分析引擎”,它通過對整個代碼庫執(zhí)行“變體分析”來發(fā)現(xiàn)可能導(dǎo)致漏洞的錯誤。

這種代碼檢查通常由安全研究人員通過集成開發(fā)環(huán)境使用grep或AWK等工具手動執(zhí)行。這通常是一個繁瑣的過程,它要求安全研究人員既要對代碼庫有深入的了解,又要對各種威脅模型有很好的理解。

GitHub表示,這使得變體分析成為一項挑戰(zhàn),因為大多數(shù)軟件組織實際上沒有任何安全研究人員。此外,開發(fā)人員本身通常不具備發(fā)現(xiàn)漏洞的能力。因此,現(xiàn)在需要的是一個能夠自動執(zhí)行大部分流程的平臺,以便更容易地發(fā)現(xiàn)漏洞。

這就是Semmle的代碼分析引擎發(fā)揮作用的地方。該平臺將代碼視為數(shù)據(jù),并將“編譯器優(yōu)化方面的最新研究”與“數(shù)據(jù)庫實現(xiàn)方面的深入研究”結(jié)合起來,這樣就可以使用聲明式的、面向?qū)ο蟮牟樵冋Z言來查詢代碼,這與查詢數(shù)據(jù)庫以獲得深入研究的方式類似。

這應(yīng)該是有用的,因為許多漏洞是由同一類型的編碼錯誤造成的,GitHub說。使用Semmle,可以從一個查詢中找到所有編碼錯誤的變體,然后一舉消除數(shù)百個漏洞。

GitHub在一篇博文中寫道:“就像關(guān)系型數(shù)據(jù)庫可以讓人們很容易地就數(shù)據(jù)提出非常復(fù)雜的問題一樣,Semmle也可以讓研究人員更容易地快速識別大型代碼庫中的安全漏洞。”

Constellation Research Inc.的分析師Holger Mueller說,Semmle的能力很重要,因為現(xiàn)在很多藥庫更像“大型醫(yī)藥倉庫”,很多代碼都被遺忘了。

穆勒說:“但是,我們需要不斷地監(jiān)控這些代碼的相關(guān)性、功能準(zhǔn)備情況和安全性?!薄耙虼?,自動代碼掃描是做到這一點的關(guān)鍵?!?/p>

GitHub表示,Semmle的代碼分析引擎現(xiàn)在可以在GitHub上的所有公共存儲庫中使用,而且適用于所有企業(yè)客戶。

除了這個新工具,GitHub說它已經(jīng)成為一個官方的公共漏洞和暴露編號權(quán)威,這將使代碼維護(hù)者更容易直接從他們的代碼庫報告漏洞。

CVE編號機構(gòu)是被授權(quán)將CVE id分配給在其各自的、商定的范圍內(nèi)影響產(chǎn)品的漏洞的組織,用于首次公開發(fā)布新漏洞。然后根據(jù)需要向研究人員、漏洞消除者和信息技術(shù)公司提供CVE id。

“GitHub將分配一個CVE ID,發(fā)布到CVE列表,然后代表開發(fā)者發(fā)布到國家漏洞數(shù)據(jù)庫(NVD),”GitHub在一篇博客文章中寫道?!巴ㄟ^讓這個過程變得簡單,并且是GitHub的原生體驗,GitHub相信會有更多的漏洞被暴露出來,然后更快地向受影響的團(tuán)隊發(fā)出警報?!?/p>

Mueller說:“成為CVE對GitHub來說是有利的,因為任何被發(fā)現(xiàn)的漏洞現(xiàn)在都可以進(jìn)行通信和跟蹤。”



免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。