GitHub使用Semmle代碼分析引擎自動(dòng)發(fā)現(xiàn)漏洞

軟件開發(fā)平臺(tái)GitHub Inc.在收購了一家名為Semmle Ltd.的公司后，正在讓安全研究人員更容易地識(shí)別代碼中的漏洞。

Semmle已經(jīng)構(gòu)建了GitHub所說的“革命性的代碼分析引擎”，它通過對整個(gè)代碼庫執(zhí)行“變體分析”來發(fā)現(xiàn)可能導(dǎo)致漏洞的錯(cuò)誤。

這種代碼檢查通常由安全研究人員通過集成開發(fā)環(huán)境使用grep或AWK等工具手動(dòng)執(zhí)行。這通常是一個(gè)繁瑣的過程，它要求安全研究人員既要對代碼庫有深入的了解，又要對各種威脅模型有很好的理解。

GitHub表示，這使得變體分析成為一項(xiàng)挑戰(zhàn)，因?yàn)榇蠖鄶?shù)軟件組織實(shí)際上沒有任何安全研究人員。此外，開發(fā)人員本身通常不具備發(fā)現(xiàn)漏洞的能力。因此，現(xiàn)在需要的是一個(gè)能夠自動(dòng)執(zhí)行大部分流程的平臺(tái)，以便更容易地發(fā)現(xiàn)漏洞。

這就是Semmle的代碼分析引擎發(fā)揮作用的地方。該平臺(tái)將代碼視為數(shù)據(jù)，并將“編譯器優(yōu)化方面的最新研究”與“數(shù)據(jù)庫實(shí)現(xiàn)方面的深入研究”結(jié)合起來，這樣就可以使用聲明式的、面向?qū)ο蟮牟樵冋Z言來查詢代碼，這與查詢數(shù)據(jù)庫以獲得深入研究的方式類似。

這應(yīng)該是有用的，因?yàn)樵S多漏洞是由同一類型的編碼錯(cuò)誤造成的，GitHub說。使用Semmle，可以從一個(gè)查詢中找到所有編碼錯(cuò)誤的變體，然后一舉消除數(shù)百個(gè)漏洞。

GitHub在一篇博文中寫道:“就像關(guān)系型數(shù)據(jù)庫可以讓人們很容易地就數(shù)據(jù)提出非常復(fù)雜的問題一樣，Semmle也可以讓研究人員更容易地快速識(shí)別大型代碼庫中的安全漏洞?！?/p>

Constellation Research Inc.的分析師Holger Mueller說，Semmle的能力很重要，因?yàn)楝F(xiàn)在很多藥庫更像“大型醫(yī)藥倉庫”，很多代碼都被遺忘了。

穆勒說:“但是，我們需要不斷地監(jiān)控這些代碼的相關(guān)性、功能準(zhǔn)備情況和安全性?！薄耙虼?，自動(dòng)代碼掃描是做到這一點(diǎn)的關(guān)鍵?！?/p>

GitHub表示，Semmle的代碼分析引擎現(xiàn)在可以在GitHub上的所有公共存儲(chǔ)庫中使用，而且適用于所有企業(yè)客戶。

除了這個(gè)新工具，GitHub說它已經(jīng)成為一個(gè)官方的公共漏洞和暴露編號(hào)權(quán)威，這將使代碼維護(hù)者更容易直接從他們的代碼庫報(bào)告漏洞。

CVE編號(hào)機(jī)構(gòu)是被授權(quán)將CVE id分配給在其各自的、商定的范圍內(nèi)影響產(chǎn)品的漏洞的組織，用于首次公開發(fā)布新漏洞。然后根據(jù)需要向研究人員、漏洞消除者和信息技術(shù)公司提供CVE id。

“GitHub將分配一個(gè)CVE ID，發(fā)布到CVE列表，然后代表開發(fā)者發(fā)布到國家漏洞數(shù)據(jù)庫(NVD)，”GitHub在一篇博客文章中寫道?！巴ㄟ^讓這個(gè)過程變得簡單，并且是GitHub的原生體驗(yàn)，GitHub相信會(huì)有更多的漏洞被暴露出來，然后更快地向受影響的團(tuán)隊(duì)發(fā)出警報(bào)?！?/p>

Mueller說:“成為CVE對GitHub來說是有利的，因?yàn)槿魏伪话l(fā)現(xiàn)的漏洞現(xiàn)在都可以進(jìn)行通信和跟蹤。”