2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ 備案號(hào):
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
郵箱:toplearningteam#gmail.com (請(qǐng)將#換成@)
軟件開發(fā)平臺(tái)GitHub Inc.在收購(gòu)了一家名為Semmle Ltd.的公司后,正在讓安全研究人員更容易地識(shí)別代碼中的漏洞。
Semmle已經(jīng)構(gòu)建了GitHub所說(shuō)的“革命性的代碼分析引擎”,它通過(guò)對(duì)整個(gè)代碼庫(kù)執(zhí)行“變體分析”來(lái)發(fā)現(xiàn)可能導(dǎo)致漏洞的錯(cuò)誤。
這種代碼檢查通常由安全研究人員通過(guò)集成開發(fā)環(huán)境使用grep或AWK等工具手動(dòng)執(zhí)行。這通常是一個(gè)繁瑣的過(guò)程,它要求安全研究人員既要對(duì)代碼庫(kù)有深入的了解,又要對(duì)各種威脅模型有很好的理解。
GitHub表示,這使得變體分析成為一項(xiàng)挑戰(zhàn),因?yàn)榇蠖鄶?shù)軟件組織實(shí)際上沒有任何安全研究人員。此外,開發(fā)人員本身通常不具備發(fā)現(xiàn)漏洞的能力。因此,現(xiàn)在需要的是一個(gè)能夠自動(dòng)執(zhí)行大部分流程的平臺(tái),以便更容易地發(fā)現(xiàn)漏洞。
這就是Semmle的代碼分析引擎發(fā)揮作用的地方。該平臺(tái)將代碼視為數(shù)據(jù),并將“編譯器優(yōu)化方面的最新研究”與“數(shù)據(jù)庫(kù)實(shí)現(xiàn)方面的深入研究”結(jié)合起來(lái),這樣就可以使用聲明式的、面向?qū)ο蟮牟樵冋Z(yǔ)言來(lái)查詢代碼,這與查詢數(shù)據(jù)庫(kù)以獲得深入研究的方式類似。
這應(yīng)該是有用的,因?yàn)樵S多漏洞是由同一類型的編碼錯(cuò)誤造成的,GitHub說(shuō)。使用Semmle,可以從一個(gè)查詢中找到所有編碼錯(cuò)誤的變體,然后一舉消除數(shù)百個(gè)漏洞。
GitHub在一篇博文中寫道:“就像關(guān)系型數(shù)據(jù)庫(kù)可以讓人們很容易地就數(shù)據(jù)提出非常復(fù)雜的問題一樣,Semmle也可以讓研究人員更容易地快速識(shí)別大型代碼庫(kù)中的安全漏洞?!?/p>
Constellation Research Inc.的分析師Holger Mueller說(shuō),Semmle的能力很重要,因?yàn)楝F(xiàn)在很多藥庫(kù)更像“大型醫(yī)藥倉(cāng)庫(kù)”,很多代碼都被遺忘了。
穆勒說(shuō):“但是,我們需要不斷地監(jiān)控這些代碼的相關(guān)性、功能準(zhǔn)備情況和安全性?!薄耙虼?,自動(dòng)代碼掃描是做到這一點(diǎn)的關(guān)鍵。”
GitHub表示,Semmle的代碼分析引擎現(xiàn)在可以在GitHub上的所有公共存儲(chǔ)庫(kù)中使用,而且適用于所有企業(yè)客戶。
除了這個(gè)新工具,GitHub說(shuō)它已經(jīng)成為一個(gè)官方的公共漏洞和暴露編號(hào)權(quán)威,這將使代碼維護(hù)者更容易直接從他們的代碼庫(kù)報(bào)告漏洞。
CVE編號(hào)機(jī)構(gòu)是被授權(quán)將CVE id分配給在其各自的、商定的范圍內(nèi)影響產(chǎn)品的漏洞的組織,用于首次公開發(fā)布新漏洞。然后根據(jù)需要向研究人員、漏洞消除者和信息技術(shù)公司提供CVE id。
“GitHub將分配一個(gè)CVE ID,發(fā)布到CVE列表,然后代表開發(fā)者發(fā)布到國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD),”GitHub在一篇博客文章中寫道。“通過(guò)讓這個(gè)過(guò)程變得簡(jiǎn)單,并且是GitHub的原生體驗(yàn),GitHub相信會(huì)有更多的漏洞被暴露出來(lái),然后更快地向受影響的團(tuán)隊(duì)發(fā)出警報(bào)?!?/p>
Mueller說(shuō):“成為CVE對(duì)GitHub來(lái)說(shuō)是有利的,因?yàn)槿魏伪话l(fā)現(xiàn)的漏洞現(xiàn)在都可以進(jìn)行通信和跟蹤。”
中國(guó)經(jīng)濟(jì)展望2024(關(guān)于中國(guó)經(jīng)濟(jì)展望2024的簡(jiǎn)介)
暴發(fā)性心肌炎警示:感冒也可能引發(fā)致命疾病,注意預(yù)防和早期診治!
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ 備案號(hào):
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
郵箱:toplearningteam#gmail.com (請(qǐng)將#換成@)