GitHubがセキュリティのためのコード分析ツールSemmleを買収

Microsoft傘下のGitHubは米国時間9月18日、コード中に脆弱性を発見するツールSemmleを買収したことを発表した。セキュリティのためのコードテストは多くの面倒な手作業を伴うが、Semmleはそれらを代わってやってくれる。デベロッパーやセキュリティ研究者は、Semmleのクエリ言語と分析エンジンを使ってコードをテストできる。GitHubのチームは、SemmleをGitHubのワークフローに緊密に統合するつもりだ。

GitHubは買収価格を公表していないが、Semmleはもともとオックスフォード大学で行われていた研究から生まれ、昨年正式にローンチした。同社はAccelがリードするシリーズBで2100万ドルを調達し、この買収までに総額3100万ドルを調達している。

Nat Oege6

GitHubのプロダクト担当上級副社長Shanku Niyogi(シャンク・ニヨギ)氏は本日の発表声明で「リレーショナルデータベースがデータに関する複雑高度な質問を単純化してくれたように、Semmleは大きなコードベースの中にセキュリティの脆弱性を見つける作業をとても容易にしてくれる。脆弱性の多くは、同じタイプのコーディングの間違いが根本の原因だ。Semmleを使うと、1つの間違いのさまざまな変形をすべて見つけることができるので、そのタイプの脆弱性をすべて根絶できる。そのためSemmleは極めて効果的なツールであり、多くの問題をごっそり見つけてくれるだけでなく、偽陽性(誤って陽性と判別されること)が極めて少ない」とコメントした。

Semmleの現在のユーザーには、Uber、NASA、Microsoft、Googleなどがいる。そして同社のコード分析プラットホームの核となる自動化コードレビューや、プロジェクト追跡、そしてもちろんセキュリティアラートなどは、オープンソースのプロジェクトなら無料で利用できる。

SemmleのCEOで共同創業者てあるOege De Moor(オエジ・デ・ムーア)氏は「GitHubはコミュニティの出会いの場であり、そこではセキュリティのエキスパートとオープンソースのメンテナーがコラボレーションでき、オープンソースのユーザーが自分のためのビルディングブロックを見つけることができる。このエコシステムの安全を目指すGitHubの最近の動き、すなわちメンテナーへのセキュリティ勧告やセキュリティフィックスの自動化、トークンスキャンニングなどは、すべて同じパズルのピースだ。Semmleのビジョンと技術も、そんなGitHubの一員だ」と語る。

image003 1

GitHubのCEOであるNat Friedman(ナット・フリードマン)氏もほぼ同じ趣旨を本日のブログで述べ、GitHubには「ソフトウェア開発を安全にするためのツールとベストプラクティスとインフラストラクチャを提供していくGitHubならではの機会と責任がある」と書いている。

そういうミッションの一環としてGitHubは今日、同団体がCommon Vulnerabilities and Exposures Numbering Authorityになったことを発表した。これによりメンテナーは自分のリポジトリから脆弱性を報告できるようになり、GitHubはそれらにIDを割り当て、問題をNational Vulnerability Databaseに登録できる。このような体制整備と手続きの容易性により、デベロッパーたちがさらに多くの脆弱性を開示でき、またコードのユーザーはアラートをより早く受け取れるようになることが望まれる。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。