GitHub ouvre sa plateforme de cybersécurité
Le site spécialisé dans le développement d’applications en Open Source, GitHub, a pour ambition de mettre en place un système de sécurisation des « codes du monde entier ».
Dans cette visée un peu surréaliste, la plateforme de façon officielle a ouvert son laboratoire en cybersécurité le 14 novembre dernier, le GitHub Security Lab. Mission : sécuriser les logiciels développés en Open Source du monde entier, parce que « la sécurité des logiciels libres est importante pour tous » explique la structure dans un communiqué.
Cet article va aussi vous intéresser : Le code source de Snapchat a été piraté et publié sur la plate-forme GITHub
On sait que la plateforme a été racheté par entreprise américaine Microsoft, pour un montant net de 7,5 milliards de dollars, mais cela n’a pas réduit l’influence de GitHub qui demeure aujourd’hui l’une des principales plateformes en matière de développement. En effet c’est une plate-forme qui est utilisée par près de 40 millions de développeurs répartis dans le monde entier, et permet de stocker environ 100 millions de dépôt de code. Dans ce contexte GitHub veut permettre une accessibilité plus grande et complète à certains outils et ressources, pour permettre aux développeurs de suivre la sécurité de leurs codes.
Le laboratoire ouvert par la plate-forme est composé déjà de 7 experts en sécurité informatique, qui est travail à temps plein, sur les vulnérabilités que peuvent présenter les codes en Open Source. Début le 14 novembre déjà, ils ont réussir à mettre à nu plus de 105 « Common Vulnerabilities and Exposures » en abrégé CVE, qui est une sorte de dictionnaire permettant de recenser les vulnérabilités informatiques afin de le porter à la connaissance des autres expert ou intéressés de la sécurité informatique.
Dans l’une de ces publications, GitHub à voulu souligner le fait que 40 pourcents des nouvelles failles de sécurité ne sont pas généralement signalées sur le « Common Vulnerabilities and Exposures », et par ailleurs, 70 % d’entre elles ne seront pas corrigées dans les 30 jours après leur signalisation par des chercheurs. Non seulement la plateforme se consacre à mobiliser ses propres experts pour atteindre son objectif, GitHub promets aussi la gratuité concernant l’usage de son outil CodeQL, qui a pour finalité principal, d’explorer de façon efficace le code logiciel pour en détecter les vulnérabilités. c’était un outil très utilisé par plusieurs chercheurs en sécurité informatique et des développeurs. Il a été développé par une entreprise achetée par Github durant le mois de septembre dernier, Semmle. En plus de CodeQL, la plateforme va mettre en disposition un autre outil dénommé GitHub Advisory Database, qui aura pour objectif de faire le recensement public de toutes les failles de sécurité sur la plate-forme, accompagnée d’avis des experts et développeurs. Ce qui pourrait être utile quand à la centralisation des failles découvertes sur les logiciels en Open Source.
À ce stade, la finalité n’est plus seulement de repérer le faille de sécurité. elle va consister à la prévenir, mais aussi chercher des moyens pour combler, voir éliminer ces dernières. Pour réussir ce pari, GitHub va compter sur la communauté des développeurs et de chercheurs en cybersécurité dont elle dispose. GitHub Security Lab est une initiative qui mise beaucoup sur une base collaborative, pour « d’inspirer la communauté mondiale de la recherche en sécurité ». GitHub n’ignore pas pour autant la masse de travail qu’elle va soumettre à ses chercheurs. « L’écosystème JavaScript compte à lui seul des millions de paquets open source (…) il existe un expert en sécurité pour 500 développeurs, de plus ces derniers sont dispersés au sein de différentes sociétés. Pour surmonter ces difficultés, GitHub Security Lab va organiser des événements pour faire se rencontrer et échanger les acteurs du secteur. ». À cette initiative, sera associée de grands noms comme Microsoft, Google, Mozilla, JP Morgan, LinkedIn et Uber.
Accédez maintenant à un nombre illimité de mot de passe :