News

GitHub e Semmle insieme per scoprire bug e falle di sicurezza

Mercoledì scorso, GitHub di Microsoft ha dichiarato di aver acquisito Semmle, una piattaforma di analisi software con sede a San Francisco per la ricerca di vulnerabilità nel codice. Nessun prezzo è stato reso noto. Nat Friedman, CEO di GitHub, ha dichiarato che il motore di analisi del codice di Semmle offre agli sviluppatori un modo per scrivere query per modelli e variazioni di codice, che consente di identificare e correggere i difetti.

La piattaforma di biz inghiottita, LGTM (abbreviazione di Looks Good To Me), è utilizzata da Google, Mozilla, NASA e Uber, tra gli altri. Fino ad oggi ha aiutato a trovare oltre 100 falle di sicurezza quotate in CVE in progetti open source. LGTM si basa su query QL e queste query dichiarative, una volta scritte, possono essere condivise, quindi i cattivi schemi trovati in un progetto possono essere facilmente individuati altrove.

 

GitHub e Semmle per scoprire falle di sicurezza

La capacità di condividere le query QL risulta essere adatta alla comunità di sviluppatori di GitHub e al tipo di collaborazione che migliora la sicurezza. E col tempo, dovrebbe aumentare le correzioni di sicurezza automatizzate di GitHub.

“La sicurezza del software è uno sforzo della comunità; nessuna singola azienda può trovare ogni vulnerabilità o proteggere la catena di approvvigionamento open source dietro il codice di tutti”, ha detto Friedman. “L’approccio di Semmle guidato dalla comunità per identificare e prevenire le vulnerabilità della sicurezza è il modo migliore per procedere”.

L’obiettivo dichiarato di GitHub è rendere l’intero processo di sicurezza, dall’identificazione della vulnerabilità alla riparazione, più come una richiesta pull, semplice e potenzialmente automatizzato.

“La combinazione di GitHub e Semmle è, per mancanza di un termine migliore, sinergica”, ha dichiarato Stephen O’Grady, co-fondatore della società di consulenza informatica RedMonk, in una e-mail a The Register. “L’aggiunta di valore di Semmle ha riguardato la riduzione dei tempi di scoperta delle vulnerabilità e l’aumento della portata di quella stessa scoperta. L’integrazione in GitHub dovrebbe comportare risultati più sicuri dai progetti ospitati da GitHub.”

O’Grady ha affermato che anche Semmle dovrebbe trarre vantaggio dall’affare, attraverso l’accesso alla telemetria dai sistemi di GitHub, che prevede di migliorare l’analisi del codice di Semmle.

 

Francesco Borea

Studente universitario Appassionato di tecnologia

Recent Posts

Dislessia e genetica: i cambiamenti cerebrali che influenzano linguaggio, visione e movimento

La dislessia è un disturbo specifico dell'apprendimento che colpisce milioni di persone in tutto il mondo. Nonostante la sua natura…

23 Dicembre 2024

United Airlines adotta AirTag per il tracciamento bagagli: una collaborazione pionieristica con Apple

United Airlines è diventata la prima grande compagnia aerea a integrare la tecnologia AirTag di Apple per il monitoraggio e…

23 Dicembre 2024

Apple AirPods con sensori biometrici: ecco cosa riserva il futuro

Nonostante Apple abbia recentemente lanciato sul mercato due nuovi modelli di AirPods, lo sviluppo delle nuove generazioni non accenna a…

23 Dicembre 2024

Menti senza suono: quando la mente non sente alcuna voce interiore

La voce interiore, quel dialogo silenzioso che accompagna molte persone durante la giornata, è spesso considerata una caratteristica universale dell’esperienza…

22 Dicembre 2024

Vuoi rafforzare il tuo sistema immunitario durante le feste? Adotta queste 3 semplici abitudini

La stagione delle feste è un periodo gioioso, ma spesso ricco di impegni e stress, fattori che possono mettere alla…

22 Dicembre 2024

Insonnia fatale familiare: la malattia genetica che priva del sonno e della vita

L'insonnia fatale familiare (IFF) è una malattia neurodegenerativa rara e letale che colpisce il sistema nervoso centrale. È caratterizzato dalla…

22 Dicembre 2024