GitHubは先日Semmelを買収したことを発表しました。脆弱性を発見するには、通常、侵入テストを実行するか、手作業でソースコードを検査します。Semmleは、コードをデータとして扱うことでセキュリティ研究者の作業範囲を拡大します。QLという名前のコード解析エンジンは、コンパイラ最適化における最新調査と、データベース実装における洞察を組み合わせて使用します。コードに内在する複雑なデータ構造を把握し、研究者が宣言型でオブジェクト指向のクエリ言語を使用して解析を利用できるようにします。

リレーショナルデータベースにおいてデータに関する非常に高度な問い合わせが簡略化されるのと同じように、Semmleでは、研究者は大規模なコードベースに含まれるセキュリティ脆弱性を非常に簡単かつ迅速に特定することができます。多くの脆弱性には、その根本的な原因と同じタイプのコーディングミスが存在しています。Semmleを利用することで、コーディングミスのバリエーションをすべて見つけることができるため、同様な脆弱性を除去できます。Semmleはこのアプローチを取ることで多くの問題を飛躍的に少ない誤検出で見つけることができます。

米国時間2019年9月18日、GitHubはSemmleを買収したことを発表しました。これは、オープンソースサプライチェーンの保護における大きな一歩になります。Semmleの革新的なセマンティックコード解析エンジンを使用することで、大規模コードベースに含まれるコードのパターンを特定し、脆弱性とその亜種を検索するクエリを作成できます。

GitHub Actionsを使うことで、開発ワークフローを自動化できます。GitHub Actionsでは、ワークフローや処理内容はリポジトリ内のコードとして記述されるため、作成したワークフローを共有したり、再利用するだけでなく、開発プロセスを含めてforkすることも可能になります。昨年のGitHub Actionsのリリース以来多くの反響があり、その結果、GitHub ActionsにCI/CD機能を実装するという結論にいたりました。

GitHubがPull Pandaを買収したことをお知らせします。今回の買収により、GitHub上でのコードレビューのワークフローが、これまで以上に効率的で効果的になります。

GitHubのグローバルな開発者向けカンファレンスであるGitHub Satelliteを今年はベルリンで開催し、何百人もの開発者が参加しました。今年のSatelliteでは、相互につながっている開発者コミュニティを、さらにサポートするための多くの発表を行いました。オープンソース開発者への資金援助のためにGitHub Sponsorsを立ち上げ、より安全なソフトウェア開発を可能にする新しいセキュリティ機能をリリースし、そして大組織や企業のニーズに応えるための新しい機能を導入しました。

本日、GitHubの利便性を高めるためのメジャーアップデートを2つお知らせします。

GitHubがSOC 1、SOC 2に準拠しました

リポジトリ数が1億件に達しました！

MicrosoftによるGitHubの買収完了のお知らせ

2018年Universeで発表された新機能について紹介します