L’Advisory Database de GitHub n’est plus seulement ouverte à la consultation. Elle l’est désormais aussi aux contributions.
Ces contributions peuvent se faire de deux manières. Soit directement dans les entrées de la base de données, soit sur le dépôt miroir créé pour l’occasion. Le tout au format OSV, sous licence Creative Commons.
GitHub a mis en place un mécanisme de validation. Par ses équipes et, s’ils sont connu, par les créateurs des fiches de vulnérabilités.
En l’état, la base contient quelque 11600 vulnérabilités. Un peu plus de la moitié (environ 6400) ont été examinées par GitHub, au sens où elles sont suivies dans son graphe de dépendances. Les autres (environ 5200) proviennent directement de la NVD (National Vulnerability Database), que maintient le NIST.
Outre la NVD, l’Advisory Database exploite les alertes de NPM – dont Microsoft est propriétaire depuis deux ans. Ainsi que celles issues de l’examen de dépôts publics par l’humain et par la machine.
Pour aller plus loin sur le sujet open source :
Cybersécurité : les outils open source que conseille l’ANSSI américaine (21 février 2022)
Logiciels libres : 5 outils made in France en observation au SILL (9 février)
Logiciels libres : 5 entreprises françaises distinguées au SILL (31 janvier)
L’open source, modèle durable ? Un sabotage et des questions (10 janvier)
Logiciels libres : comment l’UE veut les promouvoir (25 janvier)
Illustration principale © DASPRiD / CC BY 2.0
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.