GitHub vous avertit maintenant des failles de sécurité de votre projet

GitHub vous aide à garantir la sécurité de votre projet en alertant les développeurs si une vulnérabilité est détectée.

La société affirme que plus de 74,5% des projets hébergés sur la plate-forme utilisent des dépendances, ce qui les exposent à des vulnérabilités inhérentes.

En octobre dernier, GitHub a lancé sa fonction « dependency graph » pour vous aider à suivre les dépendances de votre projet. Maintenant, il s’agit de vérifier que les dépendances sont sécurisées.

Avec la fonction de graphe de dépendance active, GitHub avertira les développeurs si une vulnérabilité est détectée et suggérera même des correctifs connus fournis par la communauté. Si une version sûre existe, GitHub vous dit « select one using machine learning and publicly available data, and include it in our suggestion ».

Les référentiels publics ont automatiquement le graphique de dépendance et les nouvelles fonctionnalités d’alerte de sécurité activées. Toutefois, les utilisateurs privés devront s’inscrire en se rendant à la section Graphique de dépendance de l’onglet Insights.

Puisque GitHub encourage la collaboration sur des projets, les administrateurs peuvent ajouter d’autres équipes ou individus qui souhaitent recevoir des alertes de sécurité dans les paramètres.

GitHub dit qu’il mettra en évidence toutes les vulnérabilités avec des identifiants CVE (publicly disclosed vulnerabilities from the National Vulnerability Database), il continuera à améliorer ses capacités à identifier les autres vulnérabilités au fur et à mesure que leurs bases de données de sécurité augmentent.

« This is the next step in using the world’s largest collection of open source data to help you keep code safer and do your best work » Directeur produit chez GitHub.

Pour l’instant,  JavaScript et Ruby sont supportés. Python viendra très vite s’ajouter à la liste cette année. Vivement l’ajout d’autres langages.