Nous sommes tous connectés au sein d’un même communauté où le logiciel que nous construisons s’appuie sur la collaboration et le travail des autres. Aujourd’hui, quatre-vingt-dix-neuf pour cent des nouveaux projets logiciels reposent sur du code open source. Nous bénéficions tous de cette réutilisation intensive du code nous permettant de concevoir plus rapidement que jamais des logiciels, mais cela nous expose également au risque de propager des failles de sécurité provenant de nos dépendances logicielles. La sécurité est la responsabilité de tous les développeurs – tant pour communiquer les failles informatiques de manière responsable que pour corriger rapidement le code concerné.
Aujourd’hui, nous sommes ravis d’annoncer de nouvelles fonctionnalités conçues pour renforcer la sécurité du développement logiciel.
- Les alertes de vulnérabilité de sécurité, maintenant avec les données WhiteSource : Depuis son lancement en version bêta en 2017, GitHub a envoyé près de 27 millions d’alertes de sécurité pour les dépendances à risque. Notre nouveau partenariat avec WhiteSource élargit notre couverture des failles de sécurité potentielles dans les projets open source et fournit davantage de détails pour les évaluer et les corriger.
- Informations sur les dépendances : lorsqu’une faille de sécurité est publiée, les entreprises ont besoin d’outils pour analyser rapidement leurs dépendances et mieux comprendre leur exposition. Ces informations s’appuient sur le graphe des dépendances pour que les entreprises obtiennent une visibilité complète de ces dernières, y compris des détails sur les vulnérabilités de sécurité et les licences open source.
- Analyse des tokens : Déjà annoncée en version bêta, l’analyse de tokens est maintenant disponible et prend en charge un plus grand nombre de formats de tokens, y compris ceux d’Alibaba Cloud, Mailgun et Twilio, afin de s’assurer que les enregistrements accidentels ne se transforment pas en violations de données.
Correctifs de sécurité automatisés avec Dependabot
Les données du secteur montrent que 75% des vulnérabilités restent non corrigées pendant plus de 30 jours et que beaucoup prennent un an ou plus à l’être. Nous sommes heureux d’annoncer que nous avons acquis et intégré Dependabot dans GitHub. Avec l’aide de Dependabot, GitHub assure la sécurité et la mise à jour des projets. Ainsi, en surveillant les dépendances, GitHub détecte les vulnérabilités de sécurité connues et ouvre automatiquement des pull requests pour les mettre à jour. Durant les deux prochains mois, nous allons déployer des pull requests automatiques pour tous les comptes avec des alertes de sécurité activées.
Sécurité de l’Open Source
Presque tous les projets logiciels présenteront un bug de sécurité à un moment donné, mais les vulnérabilités des logiciels open source peuvent avoir un impact significatif lorsque des milliers de projets en dépendent. Même si les principaux fournisseurs logiciels ont une équipe dédiée qui sait comment résoudre les problèmes de sécurité lorsqu’ils surviennent, la plupart des projets open source n’ont pas ces ressources. Nous sommes donc heureux d’annoncer de nouvelles fonctionnalités visant à aider les mainteneurs à résoudre en privé et à divulguer de manière responsable les problèmes liés à la sécurité qu’ils rencontrent.
- Avis de sécurité pour mainteneurs (version bêta) : lorsque les responsables open source rencontrent un problème de sécurité, ils ont besoin d’un emplacement leur permettant de résoudre le problème et de le divulguer afin que les utilisateurs soient protégés. Pour ce faire, les mainteneurs disposent désormais d’un espace de travail privé. Ils pourront ainsi discuter, corriger et publier les avis de sécurité destinés aux personnes qui dépendent de leurs projets, directement dans GitHub, sans pour autant prévenir de potentiels pirates informatiques.
- Politique de sécurité : la sécurité est l’affaire de tous, et GitHub en a bien conscience. Aujourd’hui, des utilisateurs bien intentionnés ouvrent souvent des issues publiques pour informer les responsables techniques de l’existence d’un bug de sécurité présumé. Désormais, grâce à une politique de sécurité, les responsables peuvent contacter les utilisateurs lorsqu’ils créent de nouveaux problèmes. Ainsi, ils peuvent également leur faire savoir qu’ils doivent la respecter. Les organisations peuvent également créer une politique de sécurité qui s’appliquera automatiquement à chaque dépôt de l’organisation.
Les problèmes de sécurité auxquels sont confrontés les logiciels actuels proviennent de la communauté. Grâce à la diversité des données et des connexions que GitHub maintient en tant que principale plateforme de développement logiciel, nous avons la responsabilité de protéger la communauté des menaces et d’améliorer la sécurité de tous. Nous continuons d’investir dans de nouvelles fonctionnalités et travaillons avec des partenaires pour intégrer les meilleures pratiques du secteur dans GitHub.