De Microsoft GitHub hoy Anunciado que ha adquirido Semmle, una herramienta de análisis de código que ayuda a los desarrolladores e investigadores de seguridad a descubrir posibles vulnerabilidades en su código. Semmle elimina gran parte del trabajo manual de las pruebas de seguridad y, en cambio, ofrece un lenguaje de consulta que permite a los investigadores probar su código, utilizando el motor de análisis del servicio. Con el tiempo, el equipo de GitHub planea integrar Semmle estrechamente en el flujo de trabajo de GitHub.
GitHub no reveló el precio de la adquisición, pero Semmle, que originalmente se originó de la investigación realizada en la Universidad de Oxford, oficialmente lanzado el año pasado, con una ronda Serie B de $ 21 millones dirigida por Accel. En total, la compañía recaudó $ 31 millones antes de esta adquisición.
"Del mismo modo que las bases de datos relacionales simplifican la formulación de preguntas muy sofisticadas sobre los datos, Semmle facilita mucho a los investigadores identificar rápidamente las vulnerabilidades de seguridad en bases de código grandes", escribe Shanku Niyogi, vicepresidente sénior de producto de GitHub, en el anuncio de hoy. tienen el mismo tipo de error de codificación que su causa raíz. Con Semmle, puede encontrar todas las variaciones de un error, erradicando toda una clase de vulnerabilidades. Además, este enfoque hace que Semmle sea mucho más eficaz, encontrando dramáticamente más problemas y con muchos menos falsos positivos ".
Los usuarios actuales de Semmle incluyen a personas como Uber, NASA, Microsoft y Google, y la compañía plataforma de análisis central
"GitHub es el único lugar donde se reúne la comunidad, donde colaboran expertos en seguridad y mantenedores de código abierto, y donde los consumidores de código abierto encuentran sus componentes básicos", dice el CEO y cofundador de Semmle, Oege De Moor. "Los recientes movimientos de GitHub para asegurar el ecosistema (con avisos de seguridad del mantenedor, correcciones de seguridad automatizadas, escaneo de tokens y muchos otros avances en el desarrollo seguro) son piezas del mismo rompecabezas. La visión y la tecnología de Semmle pertenecen a GitHub ".
El CEO de GitHub, Nat Friedman, se hace eco de esto en una publicación de blog hoy y señala que cree que GitHub tiene una "oportunidad y responsabilidad únicas para proporcionar las herramientas, las mejores prácticas y la infraestructura para asegurar el desarrollo de software".
Como parte de esta misión general, GitHub también anunció hoy que ahora es una Autoridad de Numeración de Vulnerabilidades y Exposiciones Comunes (CVE). Con esto, los mantenedores ahora podrán informar vulnerabilidades de sus repositorios y GitHub se encargará de asignar ID y agregar los problemas a la Base de datos de vulnerabilidad nacional (NVD). Idealmente, esto debería significar que los desarrolladores revelarán más vulnerabilidades (ya que ahora es significativamente más fácil) y que otros que usan este código recibirán alertas antes.