« Tendance ‘shift left’ sur GitHub ». Ainsi évoquions-nous, la semaine dernière, l’arrivée d’une fonction de détection automatique des secrets au moment des pushs.
On pourrait dire de même à propos d’une Action récemment ouverte en bêta publique (code sous licence MIT). Son nom : Dependency Review. Elle repose sur l’API du même nom.
Cette API permet de visualiser les différences entre deux commits. Et leur impact en matière de sécurité, sur la base de l’Advisory Database de GitHub. Le résultat s’affiche dans l’onglet des tirages.
L’Action automatise le processus. Et peut, sous réserve de paramétrage, bloque les commits qui introduisent des vulnérabilités.
Comme la détection des secrets en amont, Dependency Review fonctionne sur, d’une part, les dépôts publics. Et de l’autre, les dépôts privés d’organisations utilisant GitHub Enterprise Cloud avec la licence Advanced Security.
L’ensemble intervient en amont de Dependabot (analyse statique de code).
Illustration principale © Shahadat Rahman – Unsplash
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…