O GitHub, da Microsoft, anunciou hoje que adquiriu a Semmle, uma startup de São Francisco que desenvolve uma solução de análise de engenharia para gerenciamento de processos de desenvolvimento de software. Os termos da compra não foram divulgados, mas o GitHub diz que disponibilizará o mecanismo de análise de código da Semmle em repositórios públicos e empresariais por meio de sua ferramenta GitHub Actions.
GitHub adquire novo status depois que adquiriu a Semmle
O GitHub também revelou nesta manhã que agora é uma Autoridade de Numeração de Vulnerabilidades e Exposições Comuns (CVE, sigla em inglês). (Para os não iniciados, o sistema CVE fornece uma referência para informações divulgadas publicamente sobre vulnerabilidades e exposições de segurança.) No futuro, o GitHub diz que será mais fácil para os contribuidores de código relatar vulnerabilidades diretamente dos repositórios, após os quais eles receberão um ID do CVE, publicado na lista CVE e, em seguida, carregado no National Vulnerability Database (NVD, sigla em inglês).
O GitHub escreveu em um post no seu blog:
O código aberto teve uma execução notável nos últimos 20 anos. Hoje, quase todos os produtos de software de qualquer fornecedor ou comunidade incluem código-fonte aberto em sua cadeia de suprimentos. Todos nós nos beneficiamos do modelo de código aberto e todos temos um papel a desempenhar para que o código aberto seja bem-sucedido pelos próximos 20 anos. Ambos os anúncios fazem parte de nossa estratégia maior de proteger o código do mundo.
A Semmle originalmente saiu da pesquisa em Oxford em 2006 e logo depois atraiu clientes como Microsoft, Google, Credit Suisse, NASA e Nasdaq e levantou mais de US $ 31 milhões em capital de risco. (Somente no ano passado, houve um aumento de duas vezes em novos clientes.) Além disso, forneceu uma versão gratuita de sua tecnologia para programadores de código aberto usarem com seus aplicativos, que antes da aquisição analisavam os commits de dezenas de milhares de projetos.
O que muda para a Semmle
Shanku Niyogi, o SVP de produtos do GitHub, explicou em um post do blog que a abordagem exclusiva de Semmle para a análise de código permite compreender estruturas de dados complexas. Além disso, ela permite detectar rapidamente todas as variações de um erro de codificação. Os pesquisadores que usam o Semmle utilizam uma linguagem de consulta declarativa e orientada a objetos, apelidada de QL, para detectar vulnerabilidades em grandes bases de código e para compartilhar e executar pesquisas em várias bases de código. (Semmle é fornecido com 2.000 consultas que abrangem várias explorações conhecidas e suas variantes.)
Niyogi diz que, até o momento, mais de 100 CVEs em repositórios foram descobertos usando sua abordagem, incluindo em projetos de alto nível como U-Boot, Apache Struts, Linux Kernel, Memcached, VLC e XNU da Apple. Ele acrescentou:
Estamos empolgados em trazer Semmle para todas as comunidades de código aberto e nossos clientes corporativos. À medida que a comunidade cresce e contribui com suas consultas, todos ajudamos a tornar o software mais seguro.
Mais ações do GitHub
Esses desenvolvimentos mais recentes ocorreram meses após o GitHub revelar que havia adquirido o Dependabot, uma ferramenta de terceiros que abre automaticamente solicitações pull para atualizar dependências em linguagens de programação populares. Ao mesmo tempo, o GitHub disponibilizou informações de dependência geralmente disponíveis para assinantes do GitHub Enterprise Cloud. Além disso, lançou amplamente notificações de segurança que sinalizam explorações e bugs nas dependências dos clientes do GitHub Enterprise Server.
Em maio, o GitHub revelou a disponibilidade beta dos avisos de segurança do mantenedor e da política de segurança. Assim, é oferecido um local privado para os desenvolvedores discutirem e publicarem avisos de segurança para selecionar usuários no GitHub. Tudo isso sem correr o risco de violar as informações. No mesmo mês, a empresa disse que iria colaborar com a plataforma de gerenciamento de conformidade de licenças e segurança de código aberto WhiteSource. Dessa forma, essa ação vai “ampliar” e “aprofundar” sua cobertura e sugestões de correção para possíveis vulnerabilidades nas dependências de .NET, Java, JavaScript, Python e Ruby .
Por fim, se gostou de ler essa notícia sobre por que o GitHub adquiriu a Semmle, não deixe de compartilhar!
Fonte: Venture Beat
Leia também: GitHub bloqueia desenvolvedores em países que enfrentam sanções comerciais dos EUA