GitHub passe au crowdsourcing pour sa base de vulnérabilités

GitHub Advisory Database crowdsourcing

Ouverte au public depuis deux ans, l’Advisory Database de GitHub accepte désormais les contributions externes.

L’Advisory Database de GitHub n’est plus seulement ouverte à la consultation. Elle l’est désormais aussi aux contributions.

Ces contributions peuvent se faire de deux manières. Soit directement dans les entrées de la base de données, soit sur le dépôt miroir créé pour l’occasion. Le tout au format OSV, sous licence Creative Commons.

GitHub a mis en place un mécanisme de validation. Par ses équipes et, s’ils sont connu, par les créateurs des fiches de vulnérabilités.

En l’état, la base contient quelque 11600 vulnérabilités. Un peu plus de la moitié (environ 6400) ont été examinées par GitHub, au sens où elles sont suivies dans son graphe de dépendances. Les autres (environ 5200) proviennent directement de la NVD (National Vulnerability Database),  que maintient le NIST.

Outre la NVD, l’Advisory Database exploite les alertes de NPM – dont Microsoft est propriétaire depuis deux ans. Ainsi que celles issues de l’examen de dépôts publics par l’humain et par la machine.

Pour aller plus loin sur le sujet open source :

Cybersécurité : les outils open source que conseille l’ANSSI américaine (21 février 2022)

Logiciels libres : 5 outils made in France en observation au SILL (9 février)

Logiciels libres : 5 entreprises françaises distinguées au SILL (31 janvier)

L’open source, modèle durable ? Un sabotage et des questions (10 janvier)

Logiciels libres : comment l’UE veut les promouvoir (25 janvier)

Illustration principale © DASPRiD / CC BY 2.0