Microsoft: dopo GitHub acquisisce Semmle, tool di analisi del codice

19 Settembre 2019 33

Microsoft, tramite la controlla GitHub, annuncia di aver effettuato una nuova acquisizione: ha ad oggetto Semmle, uno strumento sviluppato da un team di ricercatori dell'Università di Oxford, che permette di analizzare il codice e scoprire eventuali falle di sicurezza, in maniera quasi del tutto automatizzata.

Tutto il team di Semmle sarà gradualmente integrato all'interno della divisione GitHub, mentre mancano informazioni precise sul costo dell'operazione finanziaria. Prima che l'acquisizione venisse ufficializzata, l'azienda aveva raccolto finanziamenti complessivi pari a 31 milioni di dollari.

Semmle nel team di GitHub

Tra i clienti che hanno collaborato con Semmle nel corso degli anni figurano grandi nomi del panorama mondiale, come la NASA, Uber, Google e Microsoft stessa.

Il CEO e co-fondatore Oege De Moor di Semmle ha commentato:

GitHub è l'unico posto in cui la community si incontra, in cui collaborano esperti di sicurezza e programmatori open source, e dove i clienti che operano nel settore trovano gli elementi per i nuovi progetti. La mossa di GitHub per proteggere il suo ecosistema (con avvisi sulla sicurezza, correzioni automatizzate, scansione dei token e molti altri progressi per uno sviluppo più sicuro) sono tutti elementi dello stesso enigma. La visione e la tecnologia Semmle appartengono ora a GitHub.

Il top gamma con il miglior rapporto qualità/prezzo? Asus ZenFone 6, in offerta oggi da Monclick a 399 euro oppure da Unieuro a 449 euro.

33

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...

Sì scusami intendevo GitLab, correggo.

Simone

Si sicuramente, circa 3 anni fa la usai.

"Per quanto riguarda la sicurezza di GitHub stesso o lo usi in Cloud (e non mi risulta sia mai stato violato), oppure te lo installi on-premise e della sua sicurezza fai quel che vuoi, come per qualsiasi altra applicazione insomma."
Ti riferisci a GitLab oppure intendevi GitHub?

Per quanto riguarda la sicurezza ed in generale l'affidabilità.
Ci fu sia una violazione (a memoria) che una perdita di dati.
Mi ricordo quest'ultimo soprattutto perché colpi un mio coetaneo(febbraio 2017?)
Dove dovevano cancellare una serie di dati(ora i tecnicismi non li ricordo) e sostanzialmente sbagliarono una directory cancellando una master(tra l'altro) che quindi a catena cancellò tutte le sotto directory.
Mi ricordo poi che ci fu un comunicato lunghissimo su come recuperarli e la sfortunata volle che dopo diversi giorni questo mio amico(che aveva seguito tale procedura) incappò in un ulteriore errore. Pare che sbagliarono qualcosa nella procedura straordinaria di backup che fece perdere le modifiche degli ultimi 6 giorni.
Alla fine di questo processo si persero per l'appunto una notevole quantità di dati.
Può essere che ho detto delle cose sbagliate(non ricordo proprio bene) però questa persona che ora sta in Francia era diventata una stufetta :)

Poi tempo ne è passato e soprattutto di soldi...

Aggiungo, anche Amazon con AWS doveva offrire assistenza ad un utente ed invece ha killato un processo primario che ha portato ad un enorme scompiglio(mi ricordo che bloccato i server europei di Netflix tra i tanti).
Quindi nessuna azienda è immune a questo.

Sì questa è inevitabilmente un'infografica di parte, sicuramente non inventa cose ma ovviamente non cita eventuali features che gli altri hanno e GitLab no.
Per security intendono DevSecOps, ovvero i le features che servono a sviluppare applicazioni sicure, tipo SAST, DAST, dependency scanning, container scanning...
Tutta roba importante e che manca ad Azure DevOPS.
Se guardi la pagina delle features che ti ho già mandato trovi tutto.

Per quanto riguarda la sicurezza di GitHub stesso o lo usi in Cloud (e non mi risulta sia mai stato violato), oppure te lo installi on-premise e della sua sicurezza fai quel che vuoi, come per qualsiasi altra applicazione insomma.

Boh probabilmente l'idea di GitLab che hai è abbastanza datata.

Simone

Rispondo a questo messaggio per rispondere a tutti.
Sono tanti i grossi progetti e aziende come Sony, NASA, Alibaba etc che sviluppano su GitLab e non l'ho mai messo in dubbio.
Per quanto riguarda la foto qui sopra avrei i miei dubbi ma che esprimerò solamente dopo aver compreso i parametri di riferimento della stessa... (Perché per "Secure" intende qualcosa di diverso da quello che intendo io allora ok, altrimenti vorrei sapere cosa e come possono definire non "Secure" di DevOPS e come loro possano definirsi "Secure"). Aggiungo che queste foto "piblicitarie" non mi piacciono più di tanto (in quanto sono di parte e mettono in evidenza ciò che gli piace).
Però ad esempio Microsoft sul suo sito espone una indagine di mercato di una fonte esterna(una grossa ditta).
Ora personalmente ho cercato anche Gartner che invece non prende in considerazione GitLab (nelle versioni da me finora trovate) e quindi è meno facile da paragonare.
Quindi per avere un parere più oggettivo sulla questione ho cercato di guardare queste analisi.
Io personalmente, quando hanni fa l'ho usato ebbi una brutta esperienza (e veniva già da una brutta reputazione).
Ora come ora non so come sia evoluto il prodotto e proprio per questo non ho interesse di esprimermi su cosa può fare o meno(ci sono le tabelle da te esposte).
Questo significa che il mio parere è datato e soggettivo.
Ogni soluzione ha le sue peculiarità...
Per concludere informo che ho problemi con Disqus e quindi prego chiunque legga questo messaggio non si faccia problemi di accenti o parole distorte.

Simone

Si che tu ora mi stai postando queste foto ma ad esempio...
Cosa si intende per "Secure"?

Si c'è sempre da imparare, io non conosco affatto Azure DevOPS per cui non lo critico, uso per lavoro GutHub, Travis, Jira, Confluence ecc e non mi trovo male, ma se potessi sceglierei senz'altro GitLab.

Eh? Microsoft DevOPS è una delle piattaforme più usate? Ma intendi nel tuo palazzo?
Per quanto riguarda la sua completezza eccoti un pratico riassunto, se hai qualcosa che dice il contrario naturalmente facci sapere. https://uploads.disquscdn.c...

Ma sei serio?
Scusa ma forse è meglio se prima ti leggi la lunga lista delle features di GitLab e poi torni a parlarne, vedi sotto.
Poi se dopo aver detto quel che hai detto aggiungi "quindi è un competitor di Jenkies", che tra l'altro si chiama Jenkins, sembra tu non sappia bene di cosa stai parlando e allora ci sta che dici questo di GitLab. https://uploads.disquscdn.c...

Simone

In ogni caso scorrerò la pagina

Simone

Scusa se ho scritto male Jenkies.
Bè quello che intendevo dire con CI è proprio quello che hai detto tu.
Non so se si intuiva un'accezione stretta del termine.
In ogni caso mi hanno parlato sia bene che male di GitLab ed io non ce ho una conoscenza poi così tanto approfondita da poterlo criticare/giudicare.

L'unica cosa che posso in qualche modo criticarlo è la perdita di tanti. Questi software sono soggettissi ad attacchi di vario genere e non è accettabile che non garantiscano una protezione eccellente (apre considerando che poi di protezioni perfette non ne esistono).
Non so come sia la questione sicurezza ora.

Comunque, esistono dei software (di cui uno molto utilizzato) che sono delle "interfaccie" che permettono di collegare tutta una serie di software esterni in modo da avere in questi software tutti gli strumenti necessari ma a propria scelta (ad esempio, decido di usare software x o y per il bug tracking ma un altro software per le boards o per il CD e via dicendo).

Azure DevOPS offre un ecosistema completamente proprietario che è molto affidabile e completo.
Ma ci sono persone che invece preferiscono soluzione diversificate(come quella sopra).

Ho semplificato il concetto, mi auguro che tu non segua alla lettera le espressioni altrimenti diresti che ho sbagliato tutto.

Poi ci si aggiunge l'esperienza personale, io mi trovo davvero molto molto bene con GitHub ma c'è chi gli preferisce di gran lunga BitBucket, SF o anche GitLab.
Seppur è chiaro che GL e altri hosting svolgano anche funzioni ulteriori.
P.S. sono stato selezionato nella beta di GitHub Actions, vediamo... Sembra curioso perché è applicato direttamente a GitHub ma allo stesso tempo (per ora) Non mi sembra essere quella soluzione completa ma molto difficile da usare o pesante. Quindi sicuramente dovrà essere affiancata da altre soluzioni più professionali in ambito Enterprise.

Simone

Sono d'accordo con te...
Io sono amante dell'open e li dovelì dove posso lo promuovo e lo finanzio.
Ma questo non significa che per promuoverlo debba usare strumenti obsoleti a tal punto.

Cioè, VIM è veramente un Notepad con evidenziazione della sintassi... Un software veramente troppo basilare che ti costringe a sudare parecchio.

Già con Emacs siamo su un altro pianeta ma non vedo perché uno sviluppatore non possa o debba imporsi di non utilizzare software come Sublime Text etc...

Boronius

Nel senso che da anni imperversa la filosofia secondo la quale per scrivere open source devi per forza usare VI (editor di testo) e il gcc autocompilato sudando sangue... anzi che prima devi ricompilarti tutto Linux dai sorgenti kernel incluso altrimenti "non sei un bravo informatico"

GinoGinoPilotino

Beh sono molto complementari, in effetti non saprei quale preferire. Emana ha moduli e specifiche che lo rendono praticamente una one app standing

Simone

GitLab è un GitHub con CI.
(Ora anche GitHub ha CI).
Il problema è che GitLab è fatto male...
DevOPS è appunto un devops, che si può basare su Git(ma anche su TFS)e aggiunge tutti gli strumenti agile(e non solo).
Quindi è un competitor di Jenkies etc... Col vantaggio di avere funzioni comunicative, test continuativi su dispositivi reali tracking di bug e non solo.

Simone

Vim!
Io non riesco a farmelo piacere... Preferisco usare notepad!!
Emacs lo preferisco di gran lunga se devo rimanere al retrò...
Mentre di nuovo uso Atom e Visual Studio Code ... Quest'ultimo si affermerà in modo radicale (e già lo sta facendo) perché è davvero superiore.
E poi ha una mole di aggiornamento che gli altri programmatori non possono sostenere.(sperando che rimanga il concetto open source e freeware).

Simone

Ah per la miseria ...
Altra possibile soluzione.
Ripristino in Place...
Ancora meno aggressiva, ripristino da un punto di ripristino

Simone

Ah per la miseria ...
Prova a scaricare Wide Regisrty Cleaner e a fare una pulizia del registro.
È sufficiente il registro, non c'è bisogno di scaricare tutto

Non capisco cos'ha di eccezionale Azure DevOps (non Microsoft DevOps, giusto?) rispetto ad un banale GitLab.

GinoGinoPilotino

Un po' di ossigeno, grazie per il commento sensato ed a tema. Non conosco la suite perché uso ancora vim + git principalmente

sì, finirà che installerò quello...
E' che proprio non mi va di resettare Windows...

già fatto (scandisk).

Anche:
DISM /Online /Cleanup-Image /RestoreHealth

E anche:
sfc /scannow

E anche:
Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

Simone

Anche broadcom ha recentemente investito in strumenti di sviluppo per develoeprs...

Simone

Sfc

Simone

GitHub è veramente un colosso...
Considerando il recente arrivo di GitHub actions che potrebbe monopolizzare i servizi CI soprattutto per le utenze medie.
Aggiungendo poi Microsoft DevOPS (che tra le altre cose è una delle piattaforme più utilizzate e forse la più completa/potente esistente).
Poi cose come Jenkies esisteranno sempre per fortuna.

Adesso Microsoft ha anche Mobile Center anche se, personalmente, non capisco bene come inquadrarlo.

zdnko

Così finalmente scopriranno le loro falle prima di aver aggiornato milioni di pc? :D

Simone

Non vedo perché per lo sviluppo opere source...
Vanno bene per chiunwch voglia sviluppare :)

installa classic shell

Carlo

D'accordo sulla prima parte, ma secondo me WPF e UWP a breve fanno una brutta fine, poi aggiungo che .NET core è una macchina da guerra.

Boronius

Ottima mossa. Secondo il mio parere gli strumenti e le piattaforme di Microsoft sono le migliori per lo sviluppo open source. Certo, Microsoft dovrebbe fare un suo Linux che possa far girare WPF e soprattutto le UWP, a quel punto lo sviluppatore se ne frëga del fatto che ci sia Windows oppure no, e si concentra sul .NET

GinoGinoPilotino

Certo che inizia a fare paura, se si fosse comprati Kaggle avrebbero messo una mano completa sul mondo Data Science.
Ahimè Solo Microsoft e Google han capito l’importanza di certi tool/piattaforme e se li sono presi.

Grazie.
Magari...
Già fatto:
- disinstallato l'aggiornamento
- eseguito scandisk
- resettato lo store
- inserito chiavi nel registro

niente :(

Mirko Trovato

L'ultimo aggiornamento ha causato diversi problemi, dal supporto Microsoft consigliano di disinstallarlo, per fare ciò vai su impostazioni, aggiornamento e sicurezza, visualizza cronologia degli aggiornamenti, in alto premi su disinstallare gli aggiornamenti, cerca il KB4515384 e lo disinstalli, poi riavvia il PC

OT: Sono l'unico a cui non funziona più il menu start? Con l'ultimo aggiornamento (13 settembre) a molti utenti non funziona più.

Android

Samsung Galaxy S20 Ultra (5.000mAh): live batteria concluso alle 21

Android

Recensione Samsung Galaxy Z Flip, il futuro ha questa (doppia) faccia

Games

Google Stadia su Rog Phone e non solo! Il punto 3 mesi dopo: rinnovare o no?

Android

24H con Samsung Galaxy S20 Ultra: e il gioco si fa serio