軟件開發平臺GitHub Inc.在收購了一家名為Semmle Ltd.的公司后，正在讓安全研究人員更容易地識別代碼中的漏洞。

Semmle已經構建了GitHub所說的“革命性的代碼分析引擎”，它通過對整個代碼庫執行“變體分析”來發現可能導致漏洞的錯誤。

這種代碼檢查通常由安全研究人員通過集成開發環境使用grep或AWK等工具手動執行。這通常是一個繁瑣的過程，它要求安全研究人員既要對代碼庫有深入的了解，又要對各種威脅模型有很好的理解。

GitHub表示，這使得變體分析成為一項挑戰，因為大多數軟件組織實際上沒有任何安全研究人員。此外，開發人員本身通常不具備發現漏洞的能力。因此，現在需要的是一個能夠自動執行大部分流程的平臺，以便更容易地發現漏洞。

這就是Semmle的代碼分析引擎發揮作用的地方。該平臺將代碼視為數據，并將“編譯器優化方面的最新研究”與“數據庫實現方面的深入研究”結合起來，這樣就可以使用聲明式的、面向對象的查詢語言來查詢代碼，這與查詢數據庫以獲得深入研究的方式類似。

這應該是有用的，因為許多漏洞是由同一類型的編碼錯誤造成的，GitHub說。使用Semmle，可以從一個查詢中找到所有編碼錯誤的變體，然后一舉消除數百個漏洞。

GitHub在一篇博文中寫道:“就像關系型數據庫可以讓人們很容易地就數據提出非常復雜的問題一樣，Semmle也可以讓研究人員更容易地快速識別大型代碼庫中的安全漏洞。”

Constellation Research Inc.的分析師Holger Mueller說，Semmle的能力很重要，因為現在很多藥庫更像“大型醫藥倉庫”，很多代碼都被遺忘了。

穆勒說:“但是，我們需要不斷地監控這些代碼的相關性、功能準備情況和安全性。”“因此，自動代碼掃描是做到這一點的關鍵。”

GitHub表示，Semmle的代碼分析引擎現在可以在GitHub上的所有公共存儲庫中使用，而且適用于所有企業客戶。

除了這個新工具，GitHub說它已經成為一個官方的公共漏洞和暴露編號權威，這將使代碼維護者更容易直接從他們的代碼庫報告漏洞。

CVE編號機構是被授權將CVE id分配給在其各自的、商定的范圍內影響產品的漏洞的組織，用于首次公開發布新漏洞。然后根據需要向研究人員、漏洞消除者和信息技術公司提供CVE id。

“GitHub將分配一個CVE ID，發布到CVE列表，然后代表開發者發布到國家漏洞數據庫(NVD)，”GitHub在一篇博客文章中寫道。“通過讓這個過程變得簡單，并且是GitHub的原生體驗，GitHub相信會有更多的漏洞被暴露出來，然后更快地向受影響的團隊發出警報。”

Mueller說:“成為CVE對GitHub來說是有利的，因為任何被發現的漏洞現在都可以進行通信和跟蹤。”