GitHub entend renforcer la sécurité des projets soumis par les développeurs.
La plate-forme de partage de codes informatiques annonce une nouvelle fonctionnalité visant à alerter les développeurs quand ces derniers utilisent des briques Open Source entachées d’une vulnérabilité de sécurité.
Cette nouvelle fonctionnalité, « alerte de sécurité », entend s’adresser aux 75% de projets de la plate-forme développés avec des briques de codes Open Source.
Cette veille de sécurité s’inscrit dans la continuité de l’offre de « graphe de dépendance » (Dependency Graph) lancée le mois dernier et qui permet aux développeurs de suivre les évolutions des dépendances sur lesquelles s’appuient leurs programmes.
Pour l’heure, seuls les langages JavaScript (fichiers package.json) et Ruby (gemfiles) sont supportés. Python le sera courant 2018.
Si les vulnérabilités référencées auprès de la National Vulnerability Database sous forme de CVE (Common Vulnerabilities and Exposures) seront par défaut intégrées aux alertes de sécurité, GitHub n’entend cependant pas négliger les failles non référencées. D’autant que nombre d’entre elles peuvent être publiquement exploitées.
« Nous continuerons d’améliorer l’identification des vulnérabilités à mesure que nos données de sécurité croîtront », souligne la plate-forme de référence de partage de codes. Tout en invitant les développeurs à se tourner vers les partenaires en sécurité Snyk et Gemnasium.
Les alertes de sécurité sont disponibles à travers la plate-forme et s’active quand le développeur utilise une bibliothèque affectée par une vulnérabilité. Mais aussi par e-mail.
Le graphique de dépendances enverra des notifications par courriel chaque fois qu’un projet est mis à jour avec l’utilisation d’une dépendance vulnérable.
Ou encore quand GitHub met à jour sa base de données propre aux vulnérabilités. Autant de services qui devraient aider à renforcer la sécurité des applications.
Lire également
Près de 9 applications Java sur 10 vulnérables
Les sites web menacés par les librairies JavaScript obsolètes
Une faille Apache Struts menace 65% des entreprises du Fortune 100
Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…
Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…
Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…
Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…
Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…
Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…
