Perché GitHub si è comprata Semmle

GitHub vieta la navigazione agli utenti in paesi sanzionati dagli USA


Col fine di aiutare gli sviluppatori a individuare le vulnerabilità di sicurezza, la repository più famosa tra i developer porta sotto il suo cappello lo strumento di analisi

Il popolare servizio di hosting software GitHub ha acquisito Semmle, una piattaforma di analisi del codice che aiuta gli sviluppatori e i ricercatori della sicurezza a scoprire potenziali zero-day e vulnerabilità critiche in grandi mole di codice. I termini finanziari dell’accordo non sono stati resi noti dalle due società ma GitHub intende rendere disponibili i prodotti di revisione automatica del codice di Semmle tramite GitHub Actions. La società con sede a San Francisco, fondata nel 2006, vanta Uber, la Nasa, Microsoft, Google e il Nasdaq tra i suoi clienti. Semmle offre strumenti come QL che codifica gli errori logici di programmazione tra cui query per individuare errori, trovare varianti dello stesso bug altrove nel codice e impedire che si verifichino in futuro.

Cosa cambia

GitHub ha anche rivelato che ora è un’autorità di numerazione delle vulnerabilità e delle esposizioni comuni (CVE), consentendo così alla società di assegnare identificatori a nuovi difetti di sicurezza man mano che vengono scoperti sulla piattaforma. Con l’integrazione di Semmle, ogni CVE-ID può essere associato a una query Semmle QL, che può quindi essere condivisa e tracciata dalla più ampia comunità di sviluppatori. Ad oggi, centinaia di CVE in progetti open source sono stati scoperti usando Semmle, spaziando da Google Chromium, Linux, Ubuntu e il browser Edge di Microsoft.

L’acquisizione della consociata Microsoft arriva mesi dopo l’acquisto di Pull Panda per rafforzare il portafoglio di strumenti di revisione del codice e fornire agli sviluppatori un’infrastruttura per creare software sicuro che segue le migliori pratiche software. Nell’anno in cui il gigante di Redmond ha acquisito GitHub, quest’ultimo è diventato un sistema di controllo di versione completo, oltre ad essere uno dei più grandi repository per l’hosting di software open source. Visto in quella luce, Semmle è un ingranaggio nella grande ruota GitHub che si adatta perfettamente al suo flusso di lavoro di sviluppo software.

Leggi anche:  Non hai talento artistico? Ci pensa una macchina