Mercoledì scorso, GitHub di Microsoft ha dichiarato di aver acquisito Semmle, una piattaforma di analisi software con sede a San Francisco per la ricerca di vulnerabilità nel codice. Nessun prezzo è stato reso noto. Nat Friedman, CEO di GitHub, ha dichiarato che il motore di analisi del codice di Semmle offre agli sviluppatori un modo per scrivere query per modelli e variazioni di codice, che consente di identificare e correggere i difetti.
La piattaforma di biz inghiottita, LGTM (abbreviazione di Looks Good To Me), è utilizzata da Google, Mozilla, NASA e Uber, tra gli altri. Fino ad oggi ha aiutato a trovare oltre 100 falle di sicurezza quotate in CVE in progetti open source. LGTM si basa su query QL e queste query dichiarative, una volta scritte, possono essere condivise, quindi i cattivi schemi trovati in un progetto possono essere facilmente individuati altrove.
GitHub e Semmle per scoprire falle di sicurezza
La capacità di condividere le query QL risulta essere adatta alla comunità di sviluppatori di GitHub e al tipo di collaborazione che migliora la sicurezza. E col tempo, dovrebbe aumentare le correzioni di sicurezza automatizzate di GitHub.
“La sicurezza del software è uno sforzo della comunità; nessuna singola azienda può trovare ogni vulnerabilità o proteggere la catena di approvvigionamento open source dietro il codice di tutti”, ha detto Friedman. “L’approccio di Semmle guidato dalla comunità per identificare e prevenire le vulnerabilità della sicurezza è il modo migliore per procedere”.
L’obiettivo dichiarato di GitHub è rendere l’intero processo di sicurezza, dall’identificazione della vulnerabilità alla riparazione, più come una richiesta pull, semplice e potenzialmente automatizzato.
“La combinazione di GitHub e Semmle è, per mancanza di un termine migliore, sinergica”, ha dichiarato Stephen O’Grady, co-fondatore della società di consulenza informatica RedMonk, in una e-mail a The Register. “L’aggiunta di valore di Semmle ha riguardato la riduzione dei tempi di scoperta delle vulnerabilità e l’aumento della portata di quella stessa scoperta. L’integrazione in GitHub dovrebbe comportare risultati più sicuri dai progetti ospitati da GitHub.”
O’Grady ha affermato che anche Semmle dovrebbe trarre vantaggio dall’affare, attraverso l’accesso alla telemetria dai sistemi di GitHub, che prevede di migliorare l’analisi del codice di Semmle.