CodeQL, lo strumento di analisi del codice sematico utilizzato per individuare gli exploit nei database di codice, deriva dalla sua acquisizione di Semmle a settembre.
Disponibilità per tutti per proteggere il software
A tal fine, l’azienda sta rendendo CodeQL liberamente disponibile a chiunque per trovare vulnerabilità nel codice open-source.
L’obiettivo è quello di “riunire ricercatori sulla sicurezza, manutentori e aziende di tutto il settore che condividono la nostra convinzione che la sicurezza dell’open source è importante per tutti”, ha detto GitHub, la piattaforma di repository di proprietà di Microsoft.
A questa iniziativa aderiscono all’azienda professionisti della sicurezza di varie aziende tecnologiche, tra cui F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber e VMWare.
Sta inoltre lanciando GitHub Advisory Database, un database pubblico di avvisi di sicurezza creato su GitHub.
Come utilizzare CodeQL per la cybersicurezza?
Oltre ad identificare e segnalare le vulnerabilità nel software open source, GitHub Security Lab aderirà a un ciclo di vita della sicurezza open-source che assicura che i manutentori e gli sviluppatori rivelino e correggano i difetti del software, sfruttando CodeQL per evitare che le vulnerabilità di sicurezza si verifichino in futuro.
CodeQL di Semmle è stato fondamentale per scoprire centinaia di bug in progetti open-source, che si estendono su Google Chromium, Linux, Ubuntu e il browser Edge di Microsoft.
Da parte sua, Semmle fornisce il proprio cruscotto di rivelazione. Ma non sarà sorprendente se GitHub lo integra in futuro con il suo nuovo Advisory Database, rendendo il tutto accessibile in un unico luogo.
Dai popolari linguaggi di programmazione come Python e Ruby, ai framework per l’apprendimento automatico come TensorFlow, alle librerie JavaScript e alle soluzioni di distribuzione di applicazioni come Kubernetes, GitHub ospita una serie di progetti software che costituiscono la base del web moderno di oggi.
Dall’agosto 2019, il servizio di collaborazione software è utilizzato da più di 40 milioni di sviluppatori in tutto il mondo ed è usato per memorizzare 100 milioni di repository di codice.
Lo sviluppo si avvicina molto al rilascio da parte dell’azienda di un’applicazione mobile nativa per iOS (in beta), e di una migliore esperienza nella ricerca del codice e nelle notifiche. Ha inoltre acquistato Pull Panda all’inizio di quest’anno per rafforzare il suo portafoglio di strumenti di revisione del codice e fornire agli sviluppatori un’infrastruttura per creare un software sicuro che segua le migliori pratiche software.
Ora, con la formazione di una coalizione aperta di team di sicurezza e ricercatori per aumentare la sicurezza del software, GitHub è diventata la più completa piattaforma in grado di gestire tutti gli aspetti del flusso di lavoro di sviluppo software.