Microsoft оголосила про придбання платформи для аналізу коду, що дозволяє виявляти вразливість у програмному забезпеченні
Microsoft оголосила про придбання платформи для аналізу коду, що дозволяє виявляти вразливість у програмному забезпеченні
Semmle — платформа для аналізу коду, за допомогою якої експерти з інформаційної безпеки можуть виявляти вразливості в програмному забезпеченні. Компанія заснована у 2006 році.
Microsoft оголосила про придбання Semmle, щоб покращити роботу свого сервісу для спільної розробки ІТ-проектів GitHub. Вартість угоди компанії розкривати не стали. Насамперед Semmle залучила загалом $31 млн інвестицій.
У Microsoft називають Semmle «революційним механізмом аналізу коду», який здійснює «послідовний аналіз варіантів» цілих кодових баз, щоб виявляти помилки, через які може виникнути вразливість.
Такі перевірки, як правило, здійснюються вручну, використовуючи grep, AWK або інші інструменти в інтегрованому середовищі розробки. Пошук помилок найчастіше є складним процесом і вимагає від фахівців глибоких знань коду та хорошого розуміння різних моделей загроз.
У деяких софтверних компаніях немає дослідників кібербезпеки, а в самих розробників, як правило, немає належних навичок для виявлення вразливостей. Semmle є платформою, яка дозволяє автоматизувати більшу частину таких процесів і спростити пошук помилок, йдеться в прес-релізі, присвяченому продажу стартапу корпорації Microsoft.
Semmle обробляє код як дані і включає «актуальні дослідження в галузі оптимізація програми в процесі компіляції» та «знання реалізації СУБД», тому код можна запитувати за допомогою описової об'єктно-орієнтованої мови запитів подібно як це відбувається в СУБД. У цьому є велика користь, тому що численні вразливості викликані одним і тим же типом помилок коду. За допомогою Semmle можна знайти всі варіанти помилок в одному запиті, а потім усунути сотні вразливостей за раз