« Tendance ‘shift left’ sur GitHub ». Ainsi évoquions-nous, la semaine dernière, l’arrivée d’une fonction de détection automatique des secrets au moment des pushs.
On pourrait dire de même à propos d’une Action récemment ouverte en bêta publique (code sous licence MIT). Son nom : Dependency Review. Elle repose sur l’API du même nom.
Cette API permet de visualiser les différences entre deux commits. Et leur impact en matière de sécurité, sur la base de l’Advisory Database de GitHub. Le résultat s’affiche dans l’onglet des tirages.
L’Action automatise le processus. Et peut, sous réserve de paramétrage, bloque les commits qui introduisent des vulnérabilités.
Comme la détection des secrets en amont, Dependency Review fonctionne sur, d’une part, les dépôts publics. Et de l’autre, les dépôts privés d’organisations utilisant GitHub Enterprise Cloud avec la licence Advanced Security.
L’ensemble intervient en amont de Dependabot (analyse statique de code).
Illustration principale © Shahadat Rahman – Unsplash
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…