GitHub Universe : 4 annonces à retenir

Top départ pour le Security Lab de GitHub.

La plate-forme de développement vient d’officialiser cette initiative destinée à rapprocher les chercheurs en sécurité, les éditeurs et les développeurs.

Une quinzaine d’organisations s’y sont ralliées. Parmi elles, Google, HackerOne, Intel, Microsoft, Mozilla, Oracle, Uber et VMware.

Le Security Lab se positionne comme une aide à la coordination de l’écosystème. Notamment pour s’assurer que les failles ne soient pas rendues publiques avant la disponibilité d’un correctif.

Il repose sur plusieurs outils et fonctionnalités. Entre autres :

• Un espace privé pour collaborer sur des correctifs et des bulletins de sécurité
• Le moteur d’analyse CodeQL, désormais ouvert à tous
• Une base – également ouverte à tous – des alertes de sécurité publiées sur GitHub
• Un système de mise à jour automatique des dépendances vulnérables (tout juste sorti de bêta)

Administration : des rôles « intermédiaires »

La conférence Universe, organisée ces 13 et 14 novembre, a également été l’occasion d’annoncer GitHub Enterprise Server 2.19.

Cette release apporte la prise en charge de WebAuthn (effective sur la plate-forme GitHub depuis le mois d’août).

Cela signifie qu’on pourra utiliser des clés de sécurité physiques pour s’authentifier sur les principaux navigateurs et systèmes d’exploitation :

• Firefox, ainsi que Chrome et ses dérivés sur Windows, macOS, Linux et Android
• Edge sur Windows
• Safari sur macOS
• Brave sur iOS
• Windows Hello sur Edge
• Les empreintes digitales sur iOS et Android

Pour le moment, les clés de sécurité physiques ne peuvent faire office que de dispositif additionnel dans le cadre d’un mécanisme d’authentification multifacteur. À terme, il est prévu d’en faire un facteur d’authentification unique.

GitHub Enterprise Server 2.19, c’est aussi une mise à jour du graphe de dépendances. À la clé, la prise en charge de davantage de formats de fichiers, dont les VCXPROJ et FSPROJ dans les dépôts .NET.

GitHub ouvre par ailleurs à tous deux profils d’utilisateurs supplémentaires (en gras ci-dessous). On a donc désormais cinq niveaux de permissions :

• Read : peut consulter et cloner un dépôt, ainsi que consulter et commenter des tickets et des contributions
• Triage : autorisations du profil Read avec la possibilité de gérer tickets et contributions
• Write : autorisations du profil Triage avec la possibilité de pousser du code
• Maintain : autorisations du profil Write avec la possibilité de gérer certains paramètres du dépôt
• Admin

Une app mobile en bêta

GitHub, c’est dorénavant aussi une application mobile, lancée en bêta sur iOS. On nous annonce une disponibilité « pour bientôt » sur Android.

Les fonctionnalités sont réduites par rapport à l’interface web. Elles ne touchent pas tant à l’édition de code qu’à sa révision, au feedback et à la fusion de modifications.

Sur l’aspect code, on notera l’arrivée – en bêta limitée à certains dépôts publics – d’une fonction de recherche avancée. Elle tient compte de la casse, des caractères spéciaux ou encore de la tokenisation.

Autre bêta limitée : une fonction d’envoi de rappels de révision de code sur Slack.
Disponibilité générale, en revanche, pour l’option qui permet aux contributeurs de « distribuer » la révision du code entre tous les membres de son équipe ou de la leur confier « tour à tour ».

Automatisation : GitHub passe à l’Action

Sortie de bêta aussi bien pour GitHub Actions que pour GitHub Packages.

Le premier sert à automatiser les workflows de développement et de CI/CD. On peut l’utiliser conjointement avec le second, destiné à faciliter la publication de paquets.

La marketplace GitHub regroupe un peu plus d’un millier de ces « Actions », allant de la publication sur WordPress au déploiement de charges de travail sur Cloudflare.
AWS, Google Cloud et Microsoft en ont chacun un catalogue permettant d’agir avec certains de leurs services respectifs.