Microsoft объявила о приобретении платформы для анализа кода, позволяющей выявлять уязвимости в программном обеспечении

Semmle — платформа для анализа кода, при помощи которой эксперты по информационной безопасности могут выявлять уязвимости в программном обеспечении. Компания основана в 2006 году.

Microsoft объявила о приобретении Semmle, чтобы улучшить работу своего сервиса для совместной разработки ИТ-проектов GitHub. Стоимость сделки компании раскрывать не стали. Прежде Semmle привлекла в общей сложности $31 млн инвестиций.

В Microsoft называют Semmle «революционным механизмом анализа кода», который осуществляет «последовательный анализ вариантов» целых кодовых баз, чтобы выявлять ошибки, из-за которых может возникнуть уязвимость.

Такие проверки, как правило, осуществляются вручную, используя grep, AWK или другие инструменты в интегрированной среде разработки. Поиск ошибок зачастую являются сложным процессом и требует от специалистов глубоких знаний кода и хорошего понимания различных моделей угроз.

В некоторым софтверных компаниях нет исследователей кибербезопасности, а у самих разработчиков, как правило, нет должных навыков для выявления уязвимостей. Semmle является платформой, которая позволяет автоматизировать большую часть таких процессов и упростить поиск ошибок, говорится в пресс-релизе, посвящённом продаже стартапа корпорации Microsoft.

Semmle обрабатывает код как данные и включает «актуальные исследования в области оптимизация программы в процессе компиляции» и «знания реализации СУБД», поэтому код можно запрашивать с помощью описательного объектно-ориентированного языка запросов подобно тому, как это происходит в СУБД. В этом есть большая польза, потому что многочисленные уязвимости вызваны одним и тем же типом ошибок в коде. С помощью Semmle можно найти все вариант ошибок в одном запросе, а затем устранить сотни уязвимостей за раз