La sussidiaria di Microsoft GitHub ha acquisito Semmle, piattaforma specializzata nella ricerca automatizzata delle vulnerabilità di sicurezza. Ora i progetti software ospitati su GitHub saranno più sicuri.
Importanti novità sul fronte della sicurezza in arrivo per GitHub, uno dei più popolari servizi di hosting e controllo versione (versioning) dei progetti software open source (e non solo) che presto acquisirà la capacità di individuare molto velocemente le vulnerabilità di sicurezza nei progetti di cui sopra. Il merito è di Semmle, piattaforma specializzata nell’analisi del codice ora acquisita da Microsoft.
Semmle è dotata di un engine di analisi chiamato QL, capace di automatizzare la ricerca e l’identificazione di vulnerabilità di sicurezza già note (e loro varianti) tramite le query indicate dai ricercatori; a testimonianza dell’importanza e dell’efficacia della piattaforma, l’engine di Semmle è già utilizzato da nomi tecnologici di primaria importanza come Google, Uber, Microsoft e NASA.
L’obiettivo (tutt’ora in divenire) di GitHub consiste nella piena integrazione di Semmle, così da fornire ai 36 milioni di sviluppatori che usano la piattaforma la possibilità di identificare gravi bug di sicurezza prima di distribuire il codice dei loro progetti software al pubblico e agli utenti finali.
GitHub conferma il focus sulla sicurezza del codice annunciando anche di essere diventata ufficialmente una CVE Numbering Authority, un’organizzazione cioè con l’autorità per identificare e classificare in autonomia le vulnerabilità di sicurezza all’interno del database pubblico CVE.
Semmle e la classificazione delle falle CVE si aggiungono alla già finalizzata acquisizione di Dependabot, un servizio pensato per aggiornare automaticamente le dipendenze software (Ruby, Python, JavaScript, PHP, .NET, Go, Elixir, Rust, Java, Elm) con la distribuzione di eventuali patch correttive nei progetti ospitati su GitHub. Un meccanismo, questo, che diversamente da Semmle non è più una scelta autonoma in mano ai singoli sviluppatori.