Microsoft comprou a Semmle e o GitHub se tornou um CVE Numbering Authority

Primeiro a Microsoft comprou o GitHub, e agora, Microsoft comprou a Semmle e o GitHub se tornou um CVE Numbering Authority. Confira os detalhes dessa importante aquisição.

O mecanismo de análise da Semmle, QL, simplifica o processo de encontrar variações do mesmo erro de codificação em grandes bases de códigos, permitindo a descoberta mais rápida de vulnerabilidades de segurança.

Microsoft comprou a Semmle e o GitHub se tornou um CVE Numbering Authority

Semmle trata o código fonte como dados e torna possível identificar classes inteiras de vulnerabilidade a uma taxa muito mais rápida que os métodos tradicionais de análise de código.

Esse produto já é usado por grandes organizações como Google, Uber, Microsoft e NASA.

Agora, o GitHub, que atualmente é uma subsidiária da Microsoft, anunciou que se tornou um CVE Numbering Authority (Autoridade de Numeração CVE) e concluiu a aquisição da plataforma de análise de código de Semmle.

Microsoft comprou a Semmle e o GitHub se tornou um CVE Numbering Authority

Com a aquisição, o GitHub planeja adicionar a tecnologia Semmle em seus serviços e melhorar o processo de desenvolvimento de código e divulgação de vulnerabilidades para seus usuários.

Sobre isso, Shanku Niyogi, vice-presidente sênior de produtos do GitHub, disse o seguinte:

“Os pesquisadores de segurança identificam vulnerabilidades e suas variantes com uma consulta de QL. Essa consulta pode ser compartilhada e executada em muitas bases de código, liberando os pesquisadores de segurança para fazerem o que amam e fazem: caçar novas classes de vulnerabilidade.”

O GitHub planeja integrar o Semmle em seus serviços e fornecer aos 36 milhões de desenvolvedores da plataforma a possibilidade de verificar o código em busca de bugs antes de lançar o produto. Isso está atualmente nos estágios iniciais.

Relatório, rastreamento e correção de bugs mais fáceis

Como dito antes, a partir dessa aquisição, o GitHub passou a ser uma CVE Numbering Authority, ou CNA, em resumo, o que significa que ele pode atribuir identificadores para vulnerabilidades.

Os avisos de segurança abertos na plataforma agora podem ser rastreados com mais facilidade e pesquisadores, mantenedores e desenvolvedores podem colaborar melhor para solucionar problemas de segurança.

Vale ressaltar que o GitHub já selecionou vulnerabilidades dos relatórios recebidos, para confirmar o impacto e os usuários afetados, antes de liberar alertas.

O recurso de correções de segurança automáticas, que veio após a aquisição do serviço Dependabot para atualizações automatizadas de dependência (Ruby, Python, JavaScript, PHP, .NET, Go, Elixir, Rust, Java e Elm), o patch de dependências não é mais uma tarefa manual para desenvolvedores.

Com essas mudanças, o GitHub reforça seu papel na segurança cibernética, oferecendo seus enormes serviços de base de desenvolvedores para descobrir vulnerabilidades em seus projetos a uma taxa mais rápida, rastrear bugs e automatizar o patch de dependência.

Fonte: BleepingComputer

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Deixe um comentário

Sair da versão mobile