Microsoft傘下のGitHubは米国時間9月18日、コード中に脆弱性を発見するツールSemmleを買収したことを発表した。セキュリティのためのコードテストは多くの面倒な手作業を伴うが、Semmleはそれらを代わってやってくれる。デベロッパーやセキュリティ研究者は、Semmleのクエリ言語と分析エンジンを使ってコードをテストできる。GitHubのチームは、SemmleをGitHubのワークフローに緊密に統合するつもりだ。
GitHubは買収価格を公表していないが、Semmleはもともとオックスフォード大学で行われていた研究から生まれ、昨年正式にローンチした。同社はAccelがリードするシリーズBで2100万ドルを調達し、この買収までに総額3100万ドルを調達している。
GitHubのプロダクト担当上級副社長Shanku Niyogi(シャンク・ニヨギ)氏は本日の発表声明で「リレーショナルデータベースがデータに関する複雑高度な質問を単純化してくれたように、Semmleは大きなコードベースの中にセキュリティの脆弱性を見つける作業をとても容易にしてくれる。脆弱性の多くは、同じタイプのコーディングの間違いが根本の原因だ。Semmleを使うと、1つの間違いのさまざまな変形をすべて見つけることができるので、そのタイプの脆弱性をすべて根絶できる。そのためSemmleは極めて効果的なツールであり、多くの問題をごっそり見つけてくれるだけでなく、偽陽性(誤って陽性と判別されること)が極めて少ない」とコメントした。
Semmleの現在のユーザーには、Uber、NASA、Microsoft、Googleなどがいる。そして同社のコード分析プラットホームの核となる自動化コードレビューや、プロジェクト追跡、そしてもちろんセキュリティアラートなどは、オープンソースのプロジェクトなら無料で利用できる。
SemmleのCEOで共同創業者てあるOege De Moor(オエジ・デ・ムーア)氏は「GitHubはコミュニティの出会いの場であり、そこではセキュリティのエキスパートとオープンソースのメンテナーがコラボレーションでき、オープンソースのユーザーが自分のためのビルディングブロックを見つけることができる。このエコシステムの安全を目指すGitHubの最近の動き、すなわちメンテナーへのセキュリティ勧告やセキュリティフィックスの自動化、トークンスキャンニングなどは、すべて同じパズルのピースだ。Semmleのビジョンと技術も、そんなGitHubの一員だ」と語る。
GitHubのCEOであるNat Friedman(ナット・フリードマン)氏もほぼ同じ趣旨を本日のブログで述べ、GitHubには「ソフトウェア開発を安全にするためのツールとベストプラクティスとインフラストラクチャを提供していくGitHubならではの機会と責任がある」と書いている。
そういうミッションの一環としてGitHubは今日、同団体がCommon Vulnerabilities and Exposures Numbering Authorityになったことを発表した。これによりメンテナーは自分のリポジトリから脆弱性を報告できるようになり、GitHubはそれらにIDを割り当て、問題をNational Vulnerability Databaseに登録できる。このような体制整備と手続きの容易性により、デベロッパーたちがさらに多くの脆弱性を開示でき、またコードのユーザーはアラートをより早く受け取れるようになることが望まれる。
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)
