GitHub 收购程式码分析工具商 Semmle，协助开发人员发现程式码漏洞

微软旗下 GitHub 18 日宣布收购旧金山新创公司 Semmle，后者专门开发用于软体开发程式管理的工程分析解决方案。收购条款尚未披露，但 GitHub 表示，将透过 GitHub Actions 流程自动化工具，让 Semmle 的程式码分析引擎在公共和企业储存库皆可使用。

GitHub 同时还透露，已申请成为 CVE 编号管理者（CVE Numbering Authority，CNA）。至于 CVE，提供有关安全漏洞公开披露资讯的参考。GitHub 表示，程式码贡献者可更容易直接从储存库通报漏洞，他们将分配到一个 CVE ID，发布到 CVE 列表，然后再上传到美国国家漏洞资料库（NVD）。

「过去 20 年，开放原始码取得显着的进展。如今，几乎所有供应商或社群的软体产品都将开放原始码涵括至供应链。我们都从开放原始码模型获益，我们都得发挥促使开放原始码在未来 20 年取得成功的作用，」GitHub 部落格文写道：「这两项声明都是我们保护世界程式码更大战略的一部分。」

Semmle 最初于 2006 年从牛津大学研究单位分拆，随即吸引微软、Google、瑞士信贷、美国太空总署（NASA）及和那斯达克（Nasdaq）等注意，并筹集超过 3,100 万美元的风险融资（光 2018 年，新客户数量就成长 2 倍）。Semmle 为开放原始码程式设计人员提供免费的技术版本，以便搭配应用程式一起使用，收购之前，这些程式分析了数万个专案的提交状况。

正如 GitHub 产品资深副总裁 Shanku Niyogi 在部落格文章的解释，Semmle 独特的程式码分析方法能理解複杂的资料结构，并快速发现编码错误的所有变化。使用 Semmle 的研究人员利用称为 QL 的宣告式物件导向查询语言来挖掘大型程式码库的漏洞，并在许多程式码库分享并执行搜寻（有帮助的是，Semmle 发布了 2,000 个查询，涵盖许多已知漏洞及变种）。

Niyogi 表示，到目前为止，已发现超过 100 个储存库的 CVE 使用其方法，包括 U-Boot、Apache Struts、Linux Kernel、Memcached、VLC 与 Apple 的 XNU 等备受瞩目的专案。「我们很高兴能将 Semmle 带给所有开放原始码社群及我们的企业客户，」他补充：「随着社群查询的成长与贡献，使我们能共同致力协助软体更安全。」

几个月前，GitHub 宣布收购 Dependabot，这是一个第三方工具，可自动开启 Pull Request（PR）更新流行程式设计语言的相依性。大约在同时间，GitHub 向企业云（Enterprise Cloud）订户提供普遍可用的依赖性洞察，并发表安全通知，为 GitHub 企业伺服器（Enterprise Server）客户标注依赖性的漏洞。

今年 5 月，GitHub 公布 Beta 版可用性的维护者安全建议和安全策略，为开发人员提供可讨论和发表安全建议的私人空间，以便选择 GitHub 的使用者，而不会有资讯洩露的风险。同一个月，GitHub 表示将与开放原始码安全与授权合规管理平台 WhiteSource 合作，以「扩大」并「深化」对 .NET、Java、JavaScript、Python 及 Ruby 相依性潜在漏洞的覆盖性与修补建议。