Overslaan en naar de inhoud gaan

Microsoft koopt security-analysetool voor GitHub

Het eerder door Microsoft overgenomen GitHub koopt code-analysteool Semmle om fouten in software te vinden tijdens de ontwikkeling daarvan. De programmeerhulp kan snel grote stukken code doornemen en daarbij kijken naar kwetsbaarheden én afgeleide kwetsbaarheden, luidt Microsoft-topman Nat Friedman de overname in.
GitHub octocat & Semmle-logo
© GitHub
GitHub

"Semmle wordt vertrouwd door securityteams bij Uber, NASA, Microsoft en Google", blogt Friedman die na Microsofts overname van GitHub daar is aangetreden als nieuwe CEO. De tool voor code-analyse heeft volgens hem developers al geholpen om duizenden kwetsbaarheden te vinden "in sommige van de grootste codebases in de wereld, naast meer dan 100 CVE's [Common Vulnerabilities and Exposures - red.] in opensourceprojecten."

'Niemand kan dit alleen'

Zowel developers als ook security-onderzoekers zetten Semmle in om bugs en mogelijk misbruikbare kwetsbaarheden te vinden in softwarecode. Gevonden fouten worden met de Semmle-gemeenschap gedeeld om de veiligheid van andere code weer te verbeteren. "Softwaresecurity is een gemeenschapsinspanning", bezweert de GitHub-CEO. Hij stelt dat geen enkel bedrijf op eigen houtje elke kwetsbaarheid kan vinden of de hele supply chain van opensourcesoftware kan beveiligen achter ieders code.

De afgelopen paar jaar zijn diverse grote beveiligingsgaten gevonden in veelgebruikte software, waaronder ook open source. Softwareleveranciers die open source gebruiken in hun eigen producten bleken hiervoor vatbaar te zijn. En hun klanten bleken dus kwetsbaar te zijn. Op EU-niveau is er dan ook een initiatief opgezet om bugs te vinden en te melden in veelgebruikte opensourcesoftware. Het blijft dan nog wel de taak om gevonden codefouten te prioriteren en vervolgens te fixen.

Hechte integratie

Microsoft brengt nu de tools van het overgenomen Semmle naar alle developers op GitHub en hun code repositories op dat ontwikkelplatform. Ondertussen verzekert Semmle dat zijn bestaande producten gewoon blijven voortbestaan. Daarbij is er geen sprake van stagnatie: oprichter Oege de Moor stelt dat er nog veel nieuwe functionaliteit aankomt. Een deel daarvan wordt juist mogelijk gemaakt door hechte integratie met het bestaande portfolio van GitHub.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in