GitHub от Microsoft сегодня объявленный что он приобрел Semmleинструмент для анализа кода, который помогает разработчикам и исследователям безопасности обнаруживать потенциальные уязвимости в их коде. Семмл берет большую часть ручной работы из тестирования безопасности и вместо этого предлагает язык запросов, который позволяет исследователям тестировать свой код, используя механизм анализа сервиса. Со временем команда GitHub планирует тесно интегрировать Semmle в рабочий процесс GitHub.
GitHub не раскрывает цену приобретения, но Semmle, который первоначально был основан на исследованиях, проведенных в Оксфордском университете, официально запущенный в прошлом году, с раундом серии B за 21 миллион долларов во главе с Accel. В общей сложности компания привлекла 31 миллион долларов до этого приобретения.
«Точно так же, как реляционные базы данных позволяют легко задавать очень сложные вопросы о данных, исследователи значительно упрощают быстрое выявление уязвимостей безопасности в больших базах кода», – пишет Шанку Нийоги, SVP продукта GitHub, в сегодняшнем анонсе ». Многие уязвимости имеют ту же ошибку кодирования, что и их основная причина. С помощью Semmle вы можете найти все варианты ошибок, уничтожив целый класс уязвимостей. Кроме того, этот подход делает Semmle намного более эффективным, обнаруживая значительно больше проблем и с гораздо меньшим количеством ложных срабатываний ».
Среди нынешних пользователей Semmle такие пользователи, как Uber, Nasa, Microsoft и Google, а также платформа анализа кернас автоматическими проверками кода, отслеживанием проектов и, конечно же, оповещениями о безопасности, доступно бесплатно для проектов с открытым исходным кодом.
«GitHub – это то единственное место, где сообщество встречается, где сотрудничают эксперты по безопасности и разработчики ПО с открытым исходным кодом, и где потребители с открытым исходным кодом находят свои строительные блоки», – говорит генеральный директор Semmle и соучредитель Oege De Moor. «Недавние шаги GitHub по защите экосистемы (с помощью советов по безопасности для сопровождающих, автоматических исправлений безопасности, сканирования токенов и многих других достижений в области безопасной разработки) – все это кусочки одной и той же головоломки. Видение и технология Semmle принадлежат GitHub ».
Генеральный директор GitHub Нат Фридман сегодня повторяет это в своем блоге и отмечает, что считает, что GitHub обладает «уникальной возможностью и обязанностью предоставлять инструменты, лучшие практики и инфраструктуру для обеспечения безопасности разработки программного обеспечения».
В рамках этой общей миссии GitHub также сегодня объявил, что теперь он является органом по нумерации общих уязвимостей и уязвимостей (CVE). Благодаря этому сопровождающие теперь смогут сообщать об уязвимостях из своих репозиториев, а GitHub будет обрабатывать назначение идентификаторов и добавление проблем в Национальную базу данных уязвимостей (NVD). В идеале это должно означать, что разработчики будут раскрывать больше уязвимостей (поскольку теперь это значительно проще), и что другие, которые используют этот код, будут получать предупреждения раньше.