GitHub使用Semmle代碼分析引擎自動(dòng)發(fā)現(xiàn)漏洞

軟件開發(fā)平臺(tái)GitHub Inc.在收購(gòu)了一家名為Semmle Ltd.的公司后，正在讓安全研究人員更容易地識(shí)別代碼中的漏洞。

Semmle已經(jīng)構(gòu)建了GitHub所說(shuō)的“革命性的代碼分析引擎”，它通過(guò)對(duì)整個(gè)代碼庫(kù)執(zhí)行“變體分析”來(lái)發(fā)現(xiàn)可能導(dǎo)致漏洞的錯(cuò)誤。

這種代碼檢查通常由安全研究人員通過(guò)集成開發(fā)環(huán)境使用grep或AWK等工具手動(dòng)執(zhí)行。這通常是一個(gè)繁瑣的過(guò)程，它要求安全研究人員既要對(duì)代碼庫(kù)有深入的了解，又要對(duì)各種威脅模型有很好的理解。

GitHub表示，這使得變體分析成為一項(xiàng)挑戰(zhàn)，因?yàn)榇蠖鄶?shù)軟件組織實(shí)際上沒有任何安全研究人員。此外，開發(fā)人員本身通常不具備發(fā)現(xiàn)漏洞的能力。因此，現(xiàn)在需要的是一個(gè)能夠自動(dòng)執(zhí)行大部分流程的平臺(tái)，以便更容易地發(fā)現(xiàn)漏洞。

這就是Semmle的代碼分析引擎發(fā)揮作用的地方。該平臺(tái)將代碼視為數(shù)據(jù)，并將“編譯器優(yōu)化方面的最新研究”與“數(shù)據(jù)庫(kù)實(shí)現(xiàn)方面的深入研究”結(jié)合起來(lái)，這樣就可以使用聲明式的、面向?qū)ο蟮牟樵冋Z(yǔ)言來(lái)查詢代碼，這與查詢數(shù)據(jù)庫(kù)以獲得深入研究的方式類似。

這應(yīng)該是有用的，因?yàn)樵S多漏洞是由同一類型的編碼錯(cuò)誤造成的，GitHub說(shuō)。使用Semmle，可以從一個(gè)查詢中找到所有編碼錯(cuò)誤的變體，然后一舉消除數(shù)百個(gè)漏洞。

GitHub在一篇博文中寫道:“就像關(guān)系型數(shù)據(jù)庫(kù)可以讓人們很容易地就數(shù)據(jù)提出非常復(fù)雜的問題一樣，Semmle也可以讓研究人員更容易地快速識(shí)別大型代碼庫(kù)中的安全漏洞?！?/p>

Constellation Research Inc.的分析師Holger Mueller說(shuō)，Semmle的能力很重要，因?yàn)楝F(xiàn)在很多藥庫(kù)更像“大型醫(yī)藥倉(cāng)庫(kù)”，很多代碼都被遺忘了。

穆勒說(shuō):“但是，我們需要不斷地監(jiān)控這些代碼的相關(guān)性、功能準(zhǔn)備情況和安全性?！薄耙虼?，自動(dòng)代碼掃描是做到這一點(diǎn)的關(guān)鍵。”

GitHub表示，Semmle的代碼分析引擎現(xiàn)在可以在GitHub上的所有公共存儲(chǔ)庫(kù)中使用，而且適用于所有企業(yè)客戶。

除了這個(gè)新工具，GitHub說(shuō)它已經(jīng)成為一個(gè)官方的公共漏洞和暴露編號(hào)權(quán)威，這將使代碼維護(hù)者更容易直接從他們的代碼庫(kù)報(bào)告漏洞。

CVE編號(hào)機(jī)構(gòu)是被授權(quán)將CVE id分配給在其各自的、商定的范圍內(nèi)影響產(chǎn)品的漏洞的組織，用于首次公開發(fā)布新漏洞。然后根據(jù)需要向研究人員、漏洞消除者和信息技術(shù)公司提供CVE id。

“GitHub將分配一個(gè)CVE ID，發(fā)布到CVE列表，然后代表開發(fā)者發(fā)布到國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)，”GitHub在一篇博客文章中寫道。“通過(guò)讓這個(gè)過(guò)程變得簡(jiǎn)單，并且是GitHub的原生體驗(yàn)，GitHub相信會(huì)有更多的漏洞被暴露出來(lái)，然后更快地向受影響的團(tuán)隊(duì)發(fā)出警報(bào)?！?/p>

Mueller說(shuō):“成為CVE對(duì)GitHub來(lái)說(shuō)是有利的，因?yàn)槿魏伪话l(fā)現(xiàn)的漏洞現(xiàn)在都可以進(jìn)行通信和跟蹤。”