微软子公司18日宣布完成代码分析平台Semmle的收购工作，正式成为CVE编号授权机构。

Semmle是牛津大学分离出的一家子公司，2018年8月获得2100万美元B轮融资，融资后，Semmle的融资总额将达到3100万美元。

Semmle的分析引擎QL可以在大量的代码库中找出相同编码错误的变种，即可以更快地发现安全漏洞。

GitHub改善漏洞扫描进程

GitHub计划将Semmle技术添加到现有服务中，并改善代码开发和漏洞公布过程。Semmle以源码为数据，可以比原有代码分析方法更快的识别完整的漏洞类。目前谷歌、Uber、微软、NASA等大型公司和机构都在使用该产品。

GitHub产品SVP称，安全研究人员可以用QL查询来找出漏洞和其变种。查询还可以在多个代码库之间运行和共享，可以让安全研究人员找出更多的漏洞和一些新的漏洞。

GitHub计划将Semmle融入到现有服务中，并向平台的3600万开发者提供在产品发布前检查代码安全漏洞的能力。但该计划仍然处于早期。

漏洞提交、追踪和修复更容易

从即日起， GitHub将正式成为CVE编号授权机构（CNA），也就是说GitHub可以为漏洞分配CVE编号了。

平台的安全公告追踪起来更容易，安全研究人员、开发人员和维护人员也可以更好地协作来修复安全漏洞。

GitHub已经对提交的漏洞在发布安全告警前进行分类，确认影响和受影响的用户。
对开发者来说，有了自动依赖更新的Dependabot服务（自动安全修复特征）后，依赖库(Ruby, Python, JavaScript, PHP, .NET, Go, Elixir, Rust, Java, Elm) 的漏洞修复将自动完成，无需手动修复。

GitHub称通过这些变化将为平台的开发者提供发现漏洞的基础服务，使漏洞追踪、自动化依赖库漏洞修复更加快速。