GitHub entend renforcer la sécurité des projets soumis par les développeurs.
La plate-forme de partage de codes informatiques annonce une nouvelle fonctionnalité visant à alerter les développeurs quand ces derniers utilisent des briques Open Source entachées d’une vulnérabilité de sécurité.
Cette nouvelle fonctionnalité, « alerte de sécurité », entend s’adresser aux 75% de projets de la plate-forme développés avec des briques de codes Open Source.
Cette veille de sécurité s’inscrit dans la continuité de l’offre de « graphe de dépendance » (Dependency Graph) lancée le mois dernier et qui permet aux développeurs de suivre les évolutions des dépendances sur lesquelles s’appuient leurs programmes.
Pour l’heure, seuls les langages JavaScript (fichiers package.json) et Ruby (gemfiles) sont supportés. Python le sera courant 2018.
Si les vulnérabilités référencées auprès de la National Vulnerability Database sous forme de CVE (Common Vulnerabilities and Exposures) seront par défaut intégrées aux alertes de sécurité, GitHub n’entend cependant pas négliger les failles non référencées. D’autant que nombre d’entre elles peuvent être publiquement exploitées.
« Nous continuerons d’améliorer l’identification des vulnérabilités à mesure que nos données de sécurité croîtront », souligne la plate-forme de référence de partage de codes. Tout en invitant les développeurs à se tourner vers les partenaires en sécurité Snyk et Gemnasium.
Les alertes de sécurité sont disponibles à travers la plate-forme et s’active quand le développeur utilise une bibliothèque affectée par une vulnérabilité. Mais aussi par e-mail.
Le graphique de dépendances enverra des notifications par courriel chaque fois qu’un projet est mis à jour avec l’utilisation d’une dépendance vulnérable.
Ou encore quand GitHub met à jour sa base de données propre aux vulnérabilités. Autant de services qui devraient aider à renforcer la sécurité des applications.
Lire également
Près de 9 applications Java sur 10 vulnérables
Les sites web menacés par les librairies JavaScript obsolètes
Une faille Apache Struts menace 65% des entreprises du Fortune 100
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…