Содержание |
Semmle — платформа для анализа кода, при помощи которой эксперты по информационной безопасности могут выявлять уязвимости в программном обеспечении. Компания основана в 2006 году.
История
2019: Microsoft купила Semmle
18 сентября 2019 года Microsoft объявила о приобретении Semmle, чтобы улучшить работу своего сервиса для совместной разработки ИТ-проектов GitHub. Стоимость сделки компании раскрывать не стали. Прежде Semmle привлекла в общей сложности $31 млн инвестиций.
В Microsoft называют Semmle «революционным механизмом анализа кода», который осуществляет «последовательный анализ вариантов» целых кодовых баз, чтобы выявлять ошибки, из-за которых может возникнуть уязвимость.
Такие проверки, как правило, осуществляются вручную, используя grep, AWK или другие инструменты в интегрированной среде разработки. Поиск ошибок зачастую являются сложным процессом и требует от специалистов глубоких знаний кода и хорошего понимания различных моделей угроз.
В некоторых софтверных компаниях нет исследователей кибербезопасности, а у самих разработчиков, как правило, нет должных навыков для выявления уязвимостей. Semmle является платформой, которая позволяет автоматизировать большую часть таких процессов и упростить поиск ошибок, говорится в пресс-релизе, посвящённом продаже стартапа корпорации Microsoft.
Semmle обрабатывает код как данные и включает «актуальные исследования в области оптимизация программы в процессе компиляции» и «знания реализации СУБД», поэтому код можно запрашивать с помощью описательного объектно-ориентированного языка запросов подобно тому, как это происходит в СУБД. В этом есть большая польза, потому что многочисленные уязвимости вызваны одним и тем же типом ошибок в коде. С помощью Semmle можно найти все вариант ошибок в одном запросе, а затем устранить сотни уязвимостей за раз.[1]