GitHub : « shift left » aussi sur l'analyse des dépendances

GitHub greffe une Action à l’API qui permet de détecter l’introduction de dépendances vulnérables.

« Tendance ‘shift left’ sur GitHub ». Ainsi évoquions-nous, la semaine dernière, l’arrivée d’une fonction de détection automatique des secrets au moment des pushs.

On pourrait dire de même à propos d’une Action récemment ouverte en bêta publique (code sous licence MIT). Son nom : Dependency Review. Elle repose sur l’API du même nom.

Cette API permet de visualiser les différences entre deux commits. Et leur impact en matière de sécurité, sur la base de l’Advisory Database de GitHub. Le résultat s’affiche dans l’onglet des tirages.

L’Action automatise le processus. Et peut, sous réserve de paramétrage, bloque les commits qui introduisent des vulnérabilités.

Comme la détection des secrets en amont, Dependency Review fonctionne sur, d’une part, les dépôts publics. Et de l’autre, les dépôts privés d’organisations utilisant GitHub Enterprise Cloud avec la licence Advanced Security.

L’ensemble intervient en amont de Dependabot (analyse statique de code).

Lire aussi : Copilot mais pas que : comment GitHub se nourrit des LLM