GitHub met la main sur cette entreprise à l’origine d’un moteur d’analyse sémantique facilitant la recherche de vulnérabilités dans les codes sources examinés.
L’objet de Semmle : traiter le code source comme n’importe quelle autre donnée. L’entreprise née en 2006 a développé un moteur d’analyse sémantique permettant aux développeurs de formuler des requêtes afin d’identifier des vulnérabilités dans un code. Elle a ainsi mis au point deux outils, QL et LGMT, le premier étant le moteur de requête à proprement parler, le second automatisant la recherche de vulnérabilités dans les commits afin d’éviter que des bugs ne passent en prod.
Ses solutions sont aujourd’hui utilisées par la NASA, Google, Dell, Uber ou encore Microsoft et sont accessibles par le biais de Gitlab, BitBucket ou encore GitHub. Ce dernier va justement permettre à Semmle de monter en gamme. En effet, le repository acheté l’an dernier par Microsoft a annoncé le rachat de Semmle, pour un montant non spécifié.
L’ambition : une requête derrière chaque CVE
Les plans de GitHub pour l’entreprise sont encore flous. « Nous sommes très heureux d’être rejoints par l’équipe de Semmle et d’accueillir leurs ingénieurs et chercheurs en sécurité de renommée mondiale sur GitHub. Ensemble, nous apporterons leur travail à toutes les communautés open source et à nos clients » explique GitHub dans un communiqué.
Oege de Moor, le CEO de Semmle, indique pour sa part que pour l’heure son entreprise opère à une échelle modeste. Mais, avec GitHub, « une véritable adoption signifie que chaque CVE pourra être livrée avec une requête Semmle ». Pour autant, les utilisateurs et clients existants de Semmle pourront pour l’heure continuer d’utiliser ses produits dans les mêmes conditions et LGMT restera gratuit pour les projets open source. Un webinaire aura lieu le 3 octobre au cours duquel les dirigeants de Seemle détailleront le futur de l’entreprise dans le giron de GitHub.