現時要進行系統漏洞分析,已經有更好的工具去進肯,其中 Semmle 就是其中一個平台,已經有不少知名客戶例如 NASA 和 Microsoft 等。最近 Github 就宣佈收購 Semmle,成爲開源社羣平台的一分子。
Github 表示,沒有公司可以只憑自己找出產品的所有漏洞,Semmle 則是一個辨識和預防安全漏洞的好工具,可以保護開源生態免受漏洞威脅。在 Github 上,安全專家和原始碼開發者可以互相合作進行查詢,利用 Semmle 更快找到問題所在,對於整體開發社群而言也是個好消息。
Semmle 透過語意程式碼分析引擎,能讓開發人員撰寫查詢,在龐大的程式碼庫中辨識程式碼模式,並搜尋漏洞以及漏洞的變體。它目前已經發現了許多大型程式碼庫中數千個漏洞,而且也為開源專案找出超過 100 CVEs 漏洞。他們表示,被 Github 收購之後不會改變原先的服務,繼續提供 LGTM.com 免費安全分析服務,Semmle 本身也會繼續開源安全研究。
來源:Semmle