微软收购Semmle GitHub成CVE编号授权机构

阅读量277718

|评论1

|

发布时间 : 2019-09-19 11:00:43

x
译文声明

本文是翻译文章,文章原作者 bleepingcomputer,文章来源:bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/microsoft-acquires-semmle-github-now-a-cve-numbering-authority/

译文仅供参考,具体内容表达以及含义原文为准。

 

微软子公司18日宣布完成代码分析平台Semmle的收购工作,正式成为CVE编号授权机构。

Semmle是牛津大学分离出的一家子公司,2018年8月获得2100万美元B轮融资,融资后,Semmle的融资总额将达到3100万美元。

Semmle的分析引擎QL可以在大量的代码库中找出相同编码错误的变种,即可以更快地发现安全漏洞。

 

GitHub改善漏洞扫描进程

GitHub计划将Semmle技术添加到现有服务中,并改善代码开发和漏洞公布过程。Semmle以源码为数据,可以比原有代码分析方法更快的识别完整的漏洞类。目前谷歌、Uber、微软、NASA等大型公司和机构都在使用该产品。

GitHub产品SVP称,安全研究人员可以用QL查询来找出漏洞和其变种。查询还可以在多个代码库之间运行和共享,可以让安全研究人员找出更多的漏洞和一些新的漏洞。

GitHub计划将Semmle融入到现有服务中,并向平台的3600万开发者提供在产品发布前检查代码安全漏洞的能力。但该计划仍然处于早期。

 

漏洞提交、追踪和修复更容易

从即日起, GitHub将正式成为CVE编号授权机构(CNA),也就是说GitHub可以为漏洞分配CVE编号了。

平台的安全公告追踪起来更容易,安全研究人员、开发人员和维护人员也可以更好地协作来修复安全漏洞。

GitHub已经对提交的漏洞在发布安全告警前进行分类,确认影响和受影响的用户。
对开发者来说,有了自动依赖更新的Dependabot服务(自动安全修复特征)后,依赖库(Ruby, Python, JavaScript, PHP, .NET, Go, Elixir, Rust, Java, Elm) 的漏洞修复将自动完成,无需手动修复。

GitHub称通过这些变化将为平台的开发者提供发现漏洞的基础服务,使漏洞追踪、自动化依赖库漏洞修复更加快速。

本文翻译自bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+13赞
收藏
ang010ela
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66