À l’avenir, le service en ligne largement utilisé par les développeurs, GitHub, va automatiquement effectuer un contrôle de sécurité du code des langages JavaScript et Ruby. Les vulnérabilités connues dans les dépendances de projet vont automatiquement être détectées, et en informer le développeur du problème. En 2018, la fonctionnalité devrait être étendue au langage Python.
Ainsi, les alertes de sécurité sont une extension de la fonctionnalité de dépendance introduite le mois dernier, qui affichent les dépendances de projet pour les dépôts (« repositories ») visibles. Dès lors que GitHub découvre une vulnérabilité Common Vulnerabilities and Exposures (CVE) connue, un avertissement indiquant la gravité, les informations sont affichées sur de possibles scénarios d’attaque et de mise à jour des recommandations pour l’avenir des dépendances affectées.
Les alertes font désormais partie intégrante des dépôts publics, et peuvent éventuellement être utilisées dans des projets privés. En outre, les valeurs par défaut visibles uniquement pour les administrateurs du repository peuvent également être étendues aux développeurs impliqués.
GitHub en tant qu’administrateur principal du code source
Avec sa nouvelle fonctionnalité, GitHub veut rendre l’échange de code en ligne plus sûr. Et, alors que Microsoft va cesser son service d’hébergement de projet CodePlex à la fin de l’année 2017, c’est évidemment une excellente nouvelle pour tous ceux qui veulent migrer leurs dépôts. Aujourd’hui, GitHub est devenu encore plus important pour les projets de toutes sortes.
GitHub, comme les forums de Stack Overflow, est de plus en plus critiqué. En effet, comme souvent avec les services de partage de code, la diffusion d’un code source de mauvaise qualité est souvent répandue. Évidemment, la sécurité est un enjeu majeur ! En particulier, les développeurs débutants sont ciblés, étant donné que ces derniers aiment particulièrement utiliser du code prêt à l’emploi pour leurs propres projets. Les alertes de sécurité peuvent certainement être d’une grande aide pour augmenter la qualité, en particulier dans les dépôts publics.
Les alertes devraient avoir un important impact sur la sécurité, étant donné que GitHub héberge maintenant près de 70 millions de dépôts, avec des projets qui reposent sur des logiciels dépendants ou des bibliothèques logicielles qui ne sont pas souvent mises à jour lorsque de nouvelles failles sont révélées. GitHub utilise également l’apprentissage automatique pour suggérer des correctifs de la communauté.