2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
軟件開發(fā)平臺(tái)GitHub Inc.在收購了一家名為Semmle Ltd.的公司后,正在讓安全研究人員更容易地識(shí)別代碼中的漏洞。
Semmle已經(jīng)構(gòu)建了GitHub所說的“革命性的代碼分析引擎”,它通過對(duì)整個(gè)代碼庫執(zhí)行“變體分析”來發(fā)現(xiàn)可能導(dǎo)致漏洞的錯(cuò)誤。
這種代碼檢查通常由安全研究人員通過集成開發(fā)環(huán)境使用grep或AWK等工具手動(dòng)執(zhí)行。這通常是一個(gè)繁瑣的過程,它要求安全研究人員既要對(duì)代碼庫有深入的了解,又要對(duì)各種威脅模型有很好的理解。
GitHub表示,這使得變體分析成為一項(xiàng)挑戰(zhàn),因?yàn)榇蠖鄶?shù)軟件組織實(shí)際上沒有任何安全研究人員。此外,開發(fā)人員本身通常不具備發(fā)現(xiàn)漏洞的能力。因此,現(xiàn)在需要的是一個(gè)能夠自動(dòng)執(zhí)行大部分流程的平臺(tái),以便更容易地發(fā)現(xiàn)漏洞。
這就是Semmle的代碼分析引擎發(fā)揮作用的地方。該平臺(tái)將代碼視為數(shù)據(jù),并將“編譯器優(yōu)化方面的最新研究”與“數(shù)據(jù)庫實(shí)現(xiàn)方面的深入研究”結(jié)合起來,這樣就可以使用聲明式的、面向?qū)ο蟮牟樵冋Z言來查詢代碼,這與查詢數(shù)據(jù)庫以獲得深入研究的方式類似。
這應(yīng)該是有用的,因?yàn)樵S多漏洞是由同一類型的編碼錯(cuò)誤造成的,GitHub說。使用Semmle,可以從一個(gè)查詢中找到所有編碼錯(cuò)誤的變體,然后一舉消除數(shù)百個(gè)漏洞。
GitHub在一篇博文中寫道:“就像關(guān)系型數(shù)據(jù)庫可以讓人們很容易地就數(shù)據(jù)提出非常復(fù)雜的問題一樣,Semmle也可以讓研究人員更容易地快速識(shí)別大型代碼庫中的安全漏洞?!?/p>
Constellation Research Inc.的分析師Holger Mueller說,Semmle的能力很重要,因?yàn)楝F(xiàn)在很多藥庫更像“大型醫(yī)藥倉庫”,很多代碼都被遺忘了。
穆勒說:“但是,我們需要不斷地監(jiān)控這些代碼的相關(guān)性、功能準(zhǔn)備情況和安全性?!薄耙虼?,自動(dòng)代碼掃描是做到這一點(diǎn)的關(guān)鍵?!?/p>
GitHub表示,Semmle的代碼分析引擎現(xiàn)在可以在GitHub上的所有公共存儲(chǔ)庫中使用,而且適用于所有企業(yè)客戶。
除了這個(gè)新工具,GitHub說它已經(jīng)成為一個(gè)官方的公共漏洞和暴露編號(hào)權(quán)威,這將使代碼維護(hù)者更容易直接從他們的代碼庫報(bào)告漏洞。
CVE編號(hào)機(jī)構(gòu)是被授權(quán)將CVE id分配給在其各自的、商定的范圍內(nèi)影響產(chǎn)品的漏洞的組織,用于首次公開發(fā)布新漏洞。然后根據(jù)需要向研究人員、漏洞消除者和信息技術(shù)公司提供CVE id。
“GitHub將分配一個(gè)CVE ID,發(fā)布到CVE列表,然后代表開發(fā)者發(fā)布到國家漏洞數(shù)據(jù)庫(NVD),”GitHub在一篇博客文章中寫道?!巴ㄟ^讓這個(gè)過程變得簡單,并且是GitHub的原生體驗(yàn),GitHub相信會(huì)有更多的漏洞被暴露出來,然后更快地向受影響的團(tuán)隊(duì)發(fā)出警報(bào)?!?/p>
Mueller說:“成為CVE對(duì)GitHub來說是有利的,因?yàn)槿魏伪话l(fā)現(xiàn)的漏洞現(xiàn)在都可以進(jìn)行通信和跟蹤?!?/p>
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。