Primeiro a Microsoft comprou o GitHub, e agora, Microsoft comprou a Semmle e o GitHub se tornou um CVE Numbering Authority. Confira os detalhes dessa importante aquisição.
O mecanismo de análise da Semmle, QL, simplifica o processo de encontrar variações do mesmo erro de codificação em grandes bases de códigos, permitindo a descoberta mais rápida de vulnerabilidades de segurança.
Semmle trata o código fonte como dados e torna possível identificar classes inteiras de vulnerabilidade a uma taxa muito mais rápida que os métodos tradicionais de análise de código.
Esse produto já é usado por grandes organizações como Google, Uber, Microsoft e NASA.
Agora, o GitHub, que atualmente é uma subsidiária da Microsoft, anunciou que se tornou um CVE Numbering Authority (Autoridade de Numeração CVE) e concluiu a aquisição da plataforma de análise de código de Semmle.
Microsoft comprou a Semmle e o GitHub se tornou um CVE Numbering Authority
Com a aquisição, o GitHub planeja adicionar a tecnologia Semmle em seus serviços e melhorar o processo de desenvolvimento de código e divulgação de vulnerabilidades para seus usuários.
Sobre isso, Shanku Niyogi, vice-presidente sênior de produtos do GitHub, disse o seguinte:
“Os pesquisadores de segurança identificam vulnerabilidades e suas variantes com uma consulta de QL. Essa consulta pode ser compartilhada e executada em muitas bases de código, liberando os pesquisadores de segurança para fazerem o que amam e fazem: caçar novas classes de vulnerabilidade.”
- Lightning Framework, um novo malware Linux que instala rootkits, backdoors
- Como instalar o gerenciador de tokens Nitrokey-app no Linux via Snap
- Galaxy Z Flip 5 e Fold 5 Recebem Atualização de Segurança de Dezembro
- Como instalar o utilitário de backup syncBackup no Linux via Flatpak
O GitHub planeja integrar o Semmle em seus serviços e fornecer aos 36 milhões de desenvolvedores da plataforma a possibilidade de verificar o código em busca de bugs antes de lançar o produto. Isso está atualmente nos estágios iniciais.
Relatório, rastreamento e correção de bugs mais fáceis
Como dito antes, a partir dessa aquisição, o GitHub passou a ser uma CVE Numbering Authority, ou CNA, em resumo, o que significa que ele pode atribuir identificadores para vulnerabilidades.
Os avisos de segurança abertos na plataforma agora podem ser rastreados com mais facilidade e pesquisadores, mantenedores e desenvolvedores podem colaborar melhor para solucionar problemas de segurança.
Vale ressaltar que o GitHub já selecionou vulnerabilidades dos relatórios recebidos, para confirmar o impacto e os usuários afetados, antes de liberar alertas.
O recurso de correções de segurança automáticas, que veio após a aquisição do serviço Dependabot para atualizações automatizadas de dependência (Ruby, Python, JavaScript, PHP, .NET, Go, Elixir, Rust, Java e Elm), o patch de dependências não é mais uma tarefa manual para desenvolvedores.
Com essas mudanças, o GitHub reforça seu papel na segurança cibernética, oferecendo seus enormes serviços de base de desenvolvedores para descobrir vulnerabilidades em seus projetos a uma taxa mais rápida, rastrear bugs e automatizar o patch de dependência.
Fonte: BleepingComputer
O que está sendo falado no blog
- Linux Foundation terá projeto para interoperabilidade de aviação por drone
- RHEL e CentOS 6 receberam uma atualização de segurança do kernel
- Vivaldi 2.8 lançado com suporte a sincronização de dados com o Android
- Microsoft comprou a Semmle e o GitHub se tornou um CVE Numbering Authority
- Proton 4.11-5 do Steam Play lançado com correções e otimizações