GitHub : les premières nouveautés de 2023

Comment la plate-forme GitHub a-t-elle évolué depuis le début de l’année ? Le point sur une vingtaine de fonctionnalités ajoutées.

Un peu plus de comptes de réseaux sociaux ? On peut désormais en mettre jusqu’à quatre sur un profil utilisateur GitHub.

C’est l’un des éléments venus enrichir la plate-forme depuis le début de l’année. La possibilité de visualiser ses accomplissements sur l’app mobile en est un autre.

Côté sécurité, on aura noté qu’il est maintenant possible d’activer en une fois le reporting privé des vulnérabilités pour tous les dépôts publics d’une organisation.

Il y a aussi du nouveau pour les alertes Dependabot. Lorsqu’on en référence une en lien dans des problèmes (issues) ou des demandes de tirage (pull requests), quiconque dispose de la permission de visualiser l’alerte obtient, au survol, un aperçu sous forme de carte.

Sur la partie analyse des secrets, plusieurs nouveautés :

– Possibilité de vérifier la validité des tokens GitHub détectés

– Twilio rejoint le cercle des partenaires : on peut désormais rechercher ses tokens sur tous les dépôts publics… et sur les dépôts privés avec l’add-on GitHub Advanced Security

– Le registre crates.io rejoint aussi la boucle : GitHub analyse tout commit sur les dépôts publics, à la recherche d’éventuelles clés

Lorsqu’on sélectionne une équipe par l’intermédiaire du menu dans la vue d’ensemble de sécurité, les éléments affichés incluent les dépôts sur lesquels l’équipe a les permissions en écriture. Et non plus seulement ceux sur lesquels elle a les permissions admin ou sur lesquels on lui a accordé un accès aux alertes de sécurité. Même chose quand on utilise les filtres dans les vues « Risque de sécurité » et « Couverture de la sécurité ». L’ensemble est disponible sur GitHub.com et sur GitHub Enterprise Server 3.9.

Sur GitHub Actions, les tokens OIDC évoluent. Les voilà plus granulaires, prenant en charge davantage d’attributs : actor_id, repository_id, worflow_ref, workflow_sha…

Lire aussi : Copilot mais pas que : comment GitHub se nourrit des LLM

GitHub désormais connectés à CloudTrail Lake

Sur la partie administration, on aura relevé l’extension de la passerelle avec AWS. On peut désormais pousser le journal d’audit vers CloudTrail Lake.

La suppression de membres d’entreprise GitHub peut maintenant se faire par API, en plus de l’UI. Quant aux blocages, on peut dorénavant les assortir de notes explicatives.

Les propriétaires d’entreprise peuvent quant à eux visualiser sur la même page toutes les invitations qui ont échoué. Y compris lorsqu’elles concernent des collaborateurs externes.

Sur GitHub Enterprise Cloud, les admins ont une nouvelle option : pousser des annonces critiques à tous les membres ou à ceux d’organisations spécifiques. C’était déjà possible sur GitHub Enterprise Server.

Un « assistant » pour l’analyse de code

Concernant GitHub Actions, on peut désormais recevoir, sur mobile, des notifications push – pour toutes ou uniquement pour les échecs. À noter aussi la prise en charge des variables de configuration au sein des workflows (plus besoin de stocker ces données à part sous forme de secrets chiffrés).

Côté GitHub Desktop, la version 3.15 simplifie la mise en œuvre des envois (push) et des extractions (fetch) forcés, avec des éléments de menu dédiés. Les notifications de demandes de tirage sont par ailleurs désormais prises en charge sur les forks.

Pas pour tout de suite, mais pour bientôt tout de même (23 février) : la suppression de PayPal comme moyen de paiement sur GitHub Sponsors. En attendant, on peut tester l’assistant de paramétrage de l’analyse de code. Disponible pour CodeQL sur les dépôts qui utilisent GitHub Actions, il fonctionne pour le moment avec JavaScript (dont TypeScript), Python et Ruby. Le principe : il analyse les langages dans le dépôt et paramètre la meilleure configuration CodeQL pour que soient analysés chaque demande de tirage et chaque commit vers la branche par défaut et les branches protégées. Pas besoin, donc, de recourir à un fichier de workflow.

Pour restaurer une demande de tirage fusionnée vers la branche en amont, l’API GraphQL a été enrichie, avec une mutation revertPullRequest. Elle joue le même rôle que l’action déjà disponible sur l’UI.

Lire aussi : GitHub : l’IA ne va pas remplacer les développeurs