人類の進歩は、オープンソースコミュニティに依存しています。そのオープンソースをどのようにして安全かつ信頼できる方法で作成し、使用するべきか。現在、開発者はこの最大の課題に直面しています。この問題を前に、GitHubは安全なソフトウェア開発を実現させるすさまざまなツール、ベストプラクティス、およびインフラストラクチャを提供する責任があると考えています。

米国時間2019年9月18日、GitHubはSemmleを買収したことを発表しました。これは、オープンソースサプライチェーンの保護における大きな一歩になります。

Semmleの革新的なセマンティックコード解析エンジンを使用することで、大規模コードベースに含まれるコードのパターンを特定し、脆弱性とその亜種を検索するクエリを作成できます。Semmleは、Uber、NASA、Microsoft、Googleのセキュリティチームから信頼されています。Semmleはいくつもの大規模コードベースで数千個もの脆弱性の検出した実績があり、今日までに様々なオープンソースプロジェクトで100個を超えるCVEの検出にも貢献してきました。

セキュリティ研究者はSemmleを使用することで、コードに含まれる脆弱性を簡単なクエリで迅速に検出できます。その後、他のコードベースにあるコードの安全性を改善するために、Semmleコミュニティとクエリを共有します。ソフトウェアのセキュリティはコミュニティで取り組むべき課題です。単独であらゆる脆弱性を検出したり、多くのコードの背後にあるオープンソースサプライチェーンを保護することはできません。Semmleが行う、コミュニティ主導でセキュリティの脆弱性を特定し、回避しようとするアプローチが最善の方法です。

Semmleのブログには、Semmleの活用に関する数多くの動画やサンプルが掲載されています。また、Semmleのlgtm.comでは、お気に入りのオープンソースプロジェクトを調べることもできます。

改めて、GitHubにSemmleを迎え入れること、そしてSemmleの世界レベルのエンジニアおよびセキュリティ研究者を迎え入れることを大変嬉しく思っています。Semmleと連携し、彼らの仕事をすべてのオープンソースコミュニティおよびGitHubのお客様に提供していきます。開発者、メンテナ、および研究者のコミュニティとして、私たちはすべての人にとってより安全なソフトウェアの実現に向かって、一丸となって取り組みます。