L’Advisory Database de GitHub n’est plus seulement ouverte à la consultation. Elle l’est désormais aussi aux contributions.
Ces contributions peuvent se faire de deux manières. Soit directement dans les entrées de la base de données, soit sur le dépôt miroir créé pour l’occasion. Le tout au format OSV, sous licence Creative Commons.
GitHub a mis en place un mécanisme de validation. Par ses équipes et, s’ils sont connu, par les créateurs des fiches de vulnérabilités.
En l’état, la base contient quelque 11600 vulnérabilités. Un peu plus de la moitié (environ 6400) ont été examinées par GitHub, au sens où elles sont suivies dans son graphe de dépendances. Les autres (environ 5200) proviennent directement de la NVD (National Vulnerability Database), que maintient le NIST.
Outre la NVD, l’Advisory Database exploite les alertes de NPM – dont Microsoft est propriétaire depuis deux ans. Ainsi que celles issues de l’examen de dépôts publics par l’humain et par la machine.
Pour aller plus loin sur le sujet open source :
Cybersécurité : les outils open source que conseille l’ANSSI américaine (21 février 2022)
Logiciels libres : 5 outils made in France en observation au SILL (9 février)
Logiciels libres : 5 entreprises françaises distinguées au SILL (31 janvier)
L’open source, modèle durable ? Un sabotage et des questions (10 janvier)
Logiciels libres : comment l’UE veut les promouvoir (25 janvier)
Illustration principale © DASPRiD / CC BY 2.0
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…