Github安全实验室：开源代码分析引擎codeql，设漏洞奖励计划

近日，在GitHub Universe开发者大会上，GitHub宣布启动了一个名为securitylab（安全实验室） 的新社区计划。

该计划将来自不同组织的安全研究人员召集在一起，以寻找并帮助修复流行的开源项目中的错误(漏洞)。创始成员包括来自HackerOne，F5，Microsoft，Google，Intel，Mozilla，Oracle，Uber，VMWare，LinkedIn，JP Morgan，NCC Group，IOActive，Trail of Bits等组织的安全研究人员。

目前，安全实验室的创始成员已经发现报告并帮助修复了100多个安全漏洞。

最重要的地址:

https://securitylab.github.com/

此外，其还公布了一个新开源工具，名为codeql，以使任何致力于保护开源安全的人都能轻松实现安全性，实际上为语义代码分析引擎，旨在跨大量代码查找同一漏洞的不同版本。使用CodeQL，可以像对待数据一样查询代码。编写查询以查找该漏洞的所有变体，并永久消除它。然后分享查询结果，以帮助其他人也这样做。

https://securitylab.github.com/tools/codeql/

语句类似这样子

并且还可以在lgtm平台上直接编写代码分析语句，可以说是很人性化了。

https://lgtm.com/query/rule:1823453799/lang:java/

更人性化的是其还开设了专门针对codeql的CTF比赛，专门用来挖掘代码漏洞，可见其为推广工具，花费的功夫很大，并且很贴近安全研究员的学习和使用思路。

https://securitylab.github.com/ctf

更值得一提的是，在Research这一栏有很多研究人员挖和分析漏洞的技术经验分享

以上几项，对于代码漏洞挖掘者来说，可以起到很好的学习作用。

此外，GitHub最近还成为了授权的CVE编号颁发机构（CNA），这意味着它可以发布漏洞的CVE标识符。

对于促进开源项目界的代码安全可以起到不错的作用。

当然更重要的是：金钱的诱惑，以及代表荣誉的CVE。

赏金规则查看：

https://securitylab.github.com/bounties

但从描述来看，Github还是希望安全研究员使用CodeQL进行挖掘新漏洞，并可以提交赏金。最高获得2500美元。

除了发现漏洞有钱之外，编写CodeQL查询，如果写的够好，也可以拿钱，最高可以拿3000美元。

体验一下也是不错的。

推荐阅读

都变了。

奇葩。