GitHub收购了代码分析工具Semmle

 
微软的GitHub今天宣布它已经收购了Semmle，这是一种代码分析工具，可以帮助开发人员和安全研究人员发现代码中的潜在漏洞。 Semmle从安全测试中获取了大量的手工工作，而是提供了一种查询语言，允许研究人员使用服务的分析引擎测试他们的代码。随着时间的推移，GitHub团队计划将Semmle紧密集成到GitHub工作流程中。
GitHub并没有透露收购的价格，但是最初由牛津大学完成的研究分拆出来的Semmle去年正式推出，由Accel领导的一轮2100万美元的B轮融资。在此次收购之前，该公司总共募集了3100万美元。
“就像关系数据库使得询问非常复杂的数据问题变得简单一样，Semmle让研究人员更容易快速识别大型代码库中的安全漏洞，”GitHub产品高级副总裁Shanku Niyogi在今天的公告中写道。“许多漏洞与根本原因有相同类型的编码错误。使用Semmle，您可以找到错误的所有变体，消除一整类漏洞。此外，这种方法使Semmle更加有效，发现了更多的问题，并且误报率更低。“
目前Semmle的用户包括优步，NASA，微软和谷歌，以及公司的核心分析平台，自动代码审查，项目跟踪，当然还有安全警报，可免费用于开源项目。
Semmle首席执行官兼联合创始人Oege De Moor说：“GitHub是社区聚会的地方，安全专家和开源维护人员合作，开源消费者可以在这里找到他们的基石。” “GitHub最近采取的保护生态系统的举措(包括维护者安全建议，自动安全修复，令牌扫描以及安全开发中的许多其他进步)都是同一个难题。 Semmle的愿景和技术属于GitHub。“
GitHub首席执行官纳特弗里德曼今天在一篇博客文章中回应了这一点，他指出，他相信GitHub有“独特的机会和责任，提供工具，最佳实践和基础设施，使软件开发安全。”
作为整个任务的一部分，GitHub今天还宣布它现在是一个常见的漏洞和暴露(CVE)编号机构。通过这种方式，维护人员现在可以报告其存储库中的漏洞，GitHub将处理分配ID并将问题添加到国家漏洞数据库(NVD)。理想情况下，这应该意味着开发人员将披露更多漏洞(因为它现在变得更加容易)，并且使用此代码的其他人将更快收到警报。