GitHub、ソースコードの脆弱性解析ツールを展開するSemmle買収を発表

GitHubは、ソースコードの脆弱性などを検索、解析するツールを展開しているSemmleの買収を発表しました。よりセキュアなソフトウェア開発を支援するとしています。

Our mission is to build a global platform for developer collaboration. But that platform needs to be one that all of us can use to secure the world’s software, together.

Learn more on how you can help. https://t.co/I4FkD7y3Ye

— GitHub (@github) September 18, 2019

Semmleは、SQLのようなクエリ言語を使って大量のソースコードに対してプログラミングのパターンを検索することで脆弱性を発見できる「QL」と、ソースコードを継続的にスキャンし脆弱性を検出してくれる「LGTM」の2つのツールを提供しています。

例えばQLでは、関数の返り値として負の値が返ってくるケースで脆弱性が見つかった場合、まるでデータベースを検索するように大量のソースコードから負の値が返ってくるパターンを持つコードを検索する命令を記述でき、検索を実行して結果を得ることができます。

GitHubによる買収後もSemmleはこれまでと同様にツールやサービスの提供を継続します。

今後どのような新サービスが計画されているかは明らかになっていませんが、例えば現在はGitHubとSemmleを連携することで実現できるような、コードをコミットする段階で自動的に脆弱性を診断するといったことが、より便利な形でGitHubに統合されることなどが予想されるでしょう。