Mercoledì scorso, GitHub di Microsoft ha dichiarato di aver acquisito Semmle, una piattaforma di analisi software con sede a San Francisco per la ricerca di vulnerabilità nel codice. Nessun prezzo è stato reso noto. Nat Friedman, CEO di GitHub, ha dichiarato che il motore di analisi del codice di Semmle offre agli sviluppatori un modo per scrivere query per modelli e variazioni di codice, che consente di identificare e correggere i difetti.
La piattaforma di biz inghiottita, LGTM (abbreviazione di Looks Good To Me), è utilizzata da Google, Mozilla, NASA e Uber, tra gli altri. Fino ad oggi ha aiutato a trovare oltre 100 falle di sicurezza quotate in CVE in progetti open source. LGTM si basa su query QL e queste query dichiarative, una volta scritte, possono essere condivise, quindi i cattivi schemi trovati in un progetto possono essere facilmente individuati altrove.
La capacità di condividere le query QL risulta essere adatta alla comunità di sviluppatori di GitHub e al tipo di collaborazione che migliora la sicurezza. E col tempo, dovrebbe aumentare le correzioni di sicurezza automatizzate di GitHub.
“La sicurezza del software è uno sforzo della comunità; nessuna singola azienda può trovare ogni vulnerabilità o proteggere la catena di approvvigionamento open source dietro il codice di tutti”, ha detto Friedman. “L’approccio di Semmle guidato dalla comunità per identificare e prevenire le vulnerabilità della sicurezza è il modo migliore per procedere”.
L’obiettivo dichiarato di GitHub è rendere l’intero processo di sicurezza, dall’identificazione della vulnerabilità alla riparazione, più come una richiesta pull, semplice e potenzialmente automatizzato.
“La combinazione di GitHub e Semmle è, per mancanza di un termine migliore, sinergica”, ha dichiarato Stephen O’Grady, co-fondatore della società di consulenza informatica RedMonk, in una e-mail a The Register. “L’aggiunta di valore di Semmle ha riguardato la riduzione dei tempi di scoperta delle vulnerabilità e l’aumento della portata di quella stessa scoperta. L’integrazione in GitHub dovrebbe comportare risultati più sicuri dai progetti ospitati da GitHub.”
O’Grady ha affermato che anche Semmle dovrebbe trarre vantaggio dall’affare, attraverso l’accesso alla telemetria dai sistemi di GitHub, che prevede di migliorare l’analisi del codice di Semmle.
L'istruzione supplementare e la formazione continua sono temi spesso associati al miglioramento delle competenze professionali e alla crescita personale, ma…
Una svolta nel campo della visione artificiale potrebbe cambiare per sempre la capacità di droni, veicoli autonomi e robot di…
La percezione tattile è una delle capacità sensoriali più affascinanti e complesse dell'essere umano, permettendoci di interpretare il mondo circostante…
La lettura è molto più che un semplice passatempo: essa può influenzare profondamente il nostro benessere psicologico, in modi spesso…
Dato il grandissimo successo Panasonic Lumix S5, l'azienda orientale negli ultimi anni ha pensato di mettere a disposizione del pubblico…
Recenti scoperte scientifiche hanno portato nuove speranze per chi soffre della malattia di Huntington, nota anche come “danza di San…