Pour gérer vos consentements :

GitHub alerte les développeurs des vulnérabilités dans leur code

GitHub entend renforcer la sécurité des projets soumis par les développeurs.

La plate-forme de partage de codes informatiques annonce une nouvelle fonctionnalité visant à alerter les développeurs quand ces derniers utilisent des briques Open Source entachées d’une vulnérabilité de sécurité.

« Avec votre graphique de dépendances activé, nous vous avertirons désormais lorsque nous détectons une vulnérabilité dans l’une de vos dépendances et suggérons des correctifs connus de la communauté GitHub », annonce la plate-forme sur son blog.

Cette nouvelle fonctionnalité, « alerte de sécurité », entend s’adresser aux 75% de projets de la plate-forme développés avec des briques de codes Open Source.

Cette veille de sécurité s’inscrit dans la continuité de l’offre de « graphe de dépendance » (Dependency Graph) lancée le mois dernier et qui permet aux développeurs de suivre les évolutions des dépendances sur lesquelles s’appuient leurs programmes.

Pour l’heure, seuls les langages JavaScript (fichiers package.json) et Ruby (gemfiles) sont supportés. Python le sera courant 2018.

Les CVE et les autres

Si les vulnérabilités référencées auprès de la National Vulnerability Database sous forme de CVE (Common Vulnerabilities and Exposures) seront par défaut intégrées aux alertes de sécurité, GitHub n’entend cependant pas négliger les failles non référencées. D’autant que nombre d’entre elles peuvent être publiquement exploitées.

« Nous continuerons d’améliorer l’identification des vulnérabilités à mesure que nos données de sécurité croîtront », souligne la plate-forme de référence de partage de codes. Tout en invitant les développeurs à se tourner vers les partenaires en sécurité Snyk et Gemnasium.

Les alertes de sécurité sont disponibles à travers la plate-forme et s’active quand le développeur utilise une bibliothèque affectée par une vulnérabilité. Mais aussi par e-mail.

Le graphique de dépendances enverra des notifications par courriel chaque fois qu’un projet est mis à jour avec l’utilisation d’une dépendance vulnérable.

Ou encore quand GitHub met à jour sa base de données propre aux vulnérabilités. Autant de services qui devraient aider à renforcer la sécurité des applications.


Lire également
Près de 9 applications Java sur 10 vulnérables
Les sites web menacés par les librairies JavaScript obsolètes
Une faille Apache Struts menace 65% des entreprises du Fortune 100

Crédit Photo : Smeisatch-Shutterstock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

1 semaine ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago