微软收购Semmle，GitHub现在是CVE编号机构

 
微软子公司GitHub今天宣布，它已成为CVE编号管理局，并完成了对Semmle代码分析平台的收购。
Semmle的分析引擎QL简化了在大型代码库中查找相同编码错误变体的过程，从而可以更快地发现安全漏洞。
GitHub改进了bug扫描过程
GitHub计划将Semmle技术添加到其服务中，并为其用户改进代码开发和漏洞披露流程。
Semmle将源代码视为数据，并且可以比传统的代码分析方法更快地识别整个漏洞类。该产品现在被谷歌，优步，微软和美国宇航局等大型组织使用。
“安全研究人员通过QL查询识别漏洞及其变体。这个查询可以在许多代码库中共享和运行，从而使安全研究人员能够做他们喜欢和做得最好的事情：寻找新的漏洞类别。” – Shanku Niyogi，GitHub产品高级副总裁
GitHub计划将Semmle集成到其服务中，并为该平台上的3600万开发人员提供在发布产品之前检查其代码是否存在错误的可能性。目前处于早期阶段。
更容易的错误报告，跟踪和修复
从今天开始，GitHub是一个常见的漏洞和暴露(CVE)编号机构，简称CNA，这意味着它可以为漏洞分配标识符。
现在可以更轻松地跟踪在平台上打开的安全建议，研究人员，维护人员和开发人员可以更好地协作解决安全问题。
值得注意的是，GitHub已经从收到的报告中分类了漏洞，以确认影响并在发布警报之前影响用户。
自动安全修复功能，在获取Dependabot服务以获得自动依赖更新(Ruby，Python，JavaScript，PHP，.NET，Go，Elixir，Rust，Java和Elm)之后，修补依赖项不再是手动任务。开发人员。
通过这些变化，GitHub加强了其在网络安全中的作用，提供了巨大的开发人员基础服务，可以更快地发现项目中的漏洞，跟踪错误以及自动化依赖修补。