GitHub Akuisisi Semmle Untuk Membantu Pengembangan Kode yang Lebih Aman


GitHub Semmle Header[Ilustrasi Oleh Pixabay]

GitHub baru saja mengumumkan bahwa mereka berhasil mengakuisisi sebuah platform analisis kode bernama Semmle. Namun dalam kesepakatannya, besarnya biaya yang dikeluarkan tidak diungkapkan oleh kedua perusahaan tersebut.

Bagi yang belum tahu, Semmle merupakan platform analisis kode yang biasanya banyak digunakan oleh pengembang produk maupun peneliti kerentanan untuk menemukan potensi kerentanan yang tidak tampak (zero-day) dan kerentanan kritis dalam basis kode yang sangat besar.

Secara khusus, akuisisi terhadap Semmle ini akan digunakan oleh GitHub untuk memperkuat layanannya dengan menghadirkan produk peninjauan kode otomatis Semmle tersedia melalui GitHub Actions.

Semmle sendiri memiliki beberapa alat seperti QL yang bisa digunakan untuk mengkodifikasi kesalahan pemrograman logis sebagai kueri untuk menemukan kesalahan, menemukan varian bug yang sama di tempat lain dalam kode, dan mencegahnya terjadi di masa depan.

Selain itu, Semmle juga memiliki sebuah produk bernama LGTM (kependekan dari “Looks Good to Me”), yakni platform analitik rekayasa perangkat lunak, yang menggabungkan pencarian kode semantik yang mendalam dengan wawasan ilmu data, untuk memungkinkan tim mendapatkan umpan balik, rekomendasi, dan mengungkap versi rentan dependensi perpustakaan pihak ketiga.

Setelah bergabung dengan GitHub, posisi Semmle akan menjadi sarana untuk “menyelidiki, mengatasi, dan menyebarkan masalah keamanan” dalam proyek-proyek open-source, sebagaimana upayanya dalam memberi insentif kepada pengembang untuk mengamankan perangkat lunak.

Memperkuat hal ini, sekarang GitHub juga mengungkapkan Common Vulnerabilities and Exposures (CVE) Numbering Authority miliknya, yang bisa memungkinkan perusahaan untuk menetapkan pengidentifikasi kelemahan keamanan baru ketika mereka ditemukan di platform.

Dengan mengintegrasikan CVE dan kueri QL Semmle, GitHub bisa membagikan CVE-ID sehingga memungkinkan komunitas pengembang yang lebih luas untuk melacak kerentanan yang serupa.

Sampai dengan saat ini, kebanyakan CVE yang ada di dalam proyek-proyek open-source teridentifikasi menggunakan Semmle. Di dalamnya, termasuk juga produk-produk populer seperti Google Chromium, Linux, Ubuntu, dan peramban Microsoft’s Edge.

Akuisisi ini sudah sejalur dengan apa yang dilakukan oleh GitHub di masa sebelumnya – mengakuisisi Pull Panda untuk menyediakan infrastruktur berupa alat peninjau kode bagi pengembang untuk membantunya dalam membangun sebuah proyek.

[Sumber: TheNextWeb]