Pour gérer vos consentements :
Categories: DéveloppeursPolitique de sécuritéProjetsSécurité

GitHub alerte les développeurs des vulnérabilités dans leur code

GitHub entend renforcer la sécurité des projets soumis par les développeurs.

La plate-forme de partage de codes informatiques annonce une nouvelle fonctionnalité visant à alerter les développeurs quand ces derniers utilisent des briques Open Source entachées d’une vulnérabilité de sécurité.

« Avec votre graphique de dépendances activé, nous vous avertirons désormais lorsque nous détectons une vulnérabilité dans l’une de vos dépendances et suggérons des correctifs connus de la communauté GitHub », annonce la plate-forme sur son blog.

Cette nouvelle fonctionnalité, « alerte de sécurité », entend s’adresser aux 75% de projets de la plate-forme développés avec des briques de codes Open Source.

Cette veille de sécurité s’inscrit dans la continuité de l’offre de « graphe de dépendance » (Dependency Graph) lancée le mois dernier et qui permet aux développeurs de suivre les évolutions des dépendances sur lesquelles s’appuient leurs programmes.

Pour l’heure, seuls les langages JavaScript (fichiers package.json) et Ruby (gemfiles) sont supportés. Python le sera courant 2018.

Les CVE et les autres

Si les vulnérabilités référencées auprès de la National Vulnerability Database sous forme de CVE (Common Vulnerabilities and Exposures) seront par défaut intégrées aux alertes de sécurité, GitHub n’entend cependant pas négliger les failles non référencées. D’autant que nombre d’entre elles peuvent être publiquement exploitées.

« Nous continuerons d’améliorer l’identification des vulnérabilités à mesure que nos données de sécurité croîtront », souligne la plate-forme de référence de partage de codes. Tout en invitant les développeurs à se tourner vers les partenaires en sécurité Snyk et Gemnasium.

Les alertes de sécurité sont disponibles à travers la plate-forme et s’active quand le développeur utilise une bibliothèque affectée par une vulnérabilité. Mais aussi par e-mail.

Le graphique de dépendances enverra des notifications par courriel chaque fois qu’un projet est mis à jour avec l’utilisation d’une dépendance vulnérable.

Ou encore quand GitHub met à jour sa base de données propre aux vulnérabilités. Autant de services qui devraient aider à renforcer la sécurité des applications.

Lire également
Près de 9 applications Java sur 10 vulnérables
Les sites web menacés par les librairies JavaScript obsolètes
Une faille Apache Struts menace 65% des entreprises du Fortune 100

Crédit Photo : Smeisatch-Shutterstock
Share
Published by
Christophe Lagane
Tags: Apache StrutsGitHub
7 années ago

Recent Posts

Le Réseau interministériel de l’État, sujet à dépendance

La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…

6 heures ago

Etalab en position de faiblesse au sein de la Dinum

La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…

8 heures ago

Une Dinum « balbutiante » sur l’open data et les logiciels libres

Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…

10 heures ago

Pour son premier LLM codeur ouvert, Mistral AI choisit une architecture alternative

Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…

1 jour ago

Microsoft x Inflection AI : l’autorité de la concurrence britannique lance son enquête

L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…

1 jour ago

Thomas Gourand, nouveau Directeur Général de Snowflake en France

Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…

1 jour ago