18 вересня GitHub придбав інструмент для аналізу коду Semmle. Він допомагає розробникам та дослідникам безпеки автоматично виявляти потенційні вразливості в їхньому коді. З часом команда планується повністю інтегрувати Semmle в робочі процеси на GitHub.

Сума придбання не оголошується, та відомо, що з Semmle офіційно запустили минулого року і за цей час компанія залучила 31 мільйон доларів інвестицій.

Зараз інструментарієм Semmle послуговуються Uber, NASA, Microsoft (якій належить GitHub) і Google. Окрім цього, в компанії є аналітична платформа з автоматичними оглядами коду, трекінгом проєктів та сповіщеннями про безпеку, безкоштовними для розробок з відкритим вихідним кодом.

Генеральний директор Semmle підкреслює, що компанія повністю поділяє бачення та ідею GitHub — місця, яке об’єднує спільноту дослідників безпеки й розробників проєктів з відкритим вихідним кодом.

Інші нововведення безпеки на GitHub

По-перше, сервіс додав підтримку автоматичних сповіщень безпеки (Security Alerts) для деяких PHP-проєктів. Це функція сканування дерева залежностей (що генерується за допомогою Dependency Graph). Вона переглядає назву і номер версії залежності, порівнює їх зі списками відомих вразливостей та попереджає власників проєкту, якщо є збіг.

Раніше це працювало для проєктів на JavaScript, Ruby, Python, Java і NET. Відтепер функції Dependency Graph і Security Alerts діятимуть для всіх PHP-репозиторіїв, призначених для роботи з менеджером пакетів Composer.

По-друге, GitHub приєднується до системи Common Vulnerabilities and Exposures (CVE). Це означає, що розробники зможуть повідомляти про вразливості у своїх репозиторіях, GitHub оброблятиме запити й додаватиме їх у Національну базу даних вразливостей (National Vulnerability Database, NVD). Усе спрямоване на те, щоб розробники виявляли більше проблем безпеки, а користувачі коду були попереджені та захищені заздалегідь.