Microsoft koopt security-analysetool voor GitHub

"Semmle wordt vertrouwd door securityteams bij Uber, NASA, Microsoft en Google", blogt Friedman die na Microsofts overname van GitHub daar is aangetreden als nieuwe CEO. De tool voor code-analyse heeft volgens hem developers al geholpen om duizenden kwetsbaarheden te vinden "in sommige van de grootste codebases in de wereld, naast meer dan 100 CVE's [Common Vulnerabilities and Exposures - red.] in opensourceprojecten."

'Niemand kan dit alleen'

Zowel developers als ook security-onderzoekers zetten Semmle in om bugs en mogelijk misbruikbare kwetsbaarheden te vinden in softwarecode. Gevonden fouten worden met de Semmle-gemeenschap gedeeld om de veiligheid van andere code weer te verbeteren. "Softwaresecurity is een gemeenschapsinspanning", bezweert de GitHub-CEO. Hij stelt dat geen enkel bedrijf op eigen houtje elke kwetsbaarheid kan vinden of de hele supply chain van opensourcesoftware kan beveiligen achter ieders code.

De afgelopen paar jaar zijn diverse grote beveiligingsgaten gevonden in veelgebruikte software, waaronder ook open source. Softwareleveranciers die open source gebruiken in hun eigen producten bleken hiervoor vatbaar te zijn. En hun klanten bleken dus kwetsbaar te zijn. Op EU-niveau is er dan ook een initiatief opgezet om bugs te vinden en te melden in veelgebruikte opensourcesoftware. Het blijft dan nog wel de taak om gevonden codefouten te prioriteren en vervolgens te fixen.

Hechte integratie

Microsoft brengt nu de tools van het overgenomen Semmle naar alle developers op GitHub en hun code repositories op dat ontwikkelplatform. Ondertussen verzekert Semmle dat zijn bestaande producten gewoon blijven voortbestaan. Daarbij is er geen sprake van stagnatie: oprichter Oege de Moor stelt dat er nog veel nieuwe functionaliteit aankomt. Een deel daarvan wordt juist mogelijk gemaakt door hechte integratie met het bestaande portfolio van GitHub.