Accueil Cybersécurité GitHub Security Lab, de nouveaux outils disponibles pour la sécurité de l’open...

GitHub Security Lab, de nouveaux outils disponibles pour la sécurité de l’open source

GitHub, via son Security Lab annoncé à l’occasion du tout dernier GitHub Universe 2019, veut permette aux développeurs de sécuriser le code « du monde entier, ensemble ».
 
Jamie Cool, Vice President Of Product Management, Security chez GitHub, fait une série d’annonces sur le blog de la plateforme populaire de développement de logiciels – rachetée par Microsoft en 2018. « Nous partageons tous la responsabilité d’assurer la sécurité des logiciels open source – aucun d’entre nous ne peut assumer cette responsabilité seul« , pose en préambule l’expert. » Face à cette « tache colossale« , à la « pénurie d’experts en sécurité » et au « problème de la coordination » entre les experts mondiaux de la sécurité répartis dans des milliers d’entreprises, Jamie Cool met l’accent sur la contribution et l’uniformisation des règles que vont apporter GitHub Security Lab et CodeQL, un outil utilisé par de nombreuses équipes de recherche en sécurité dans le monde pour effectuer l’analyse du code.
CodeQL disponible gratuitement
Il annonce en effet que GitHub Security Lab met gratuitement CodeQL à la disposition de tous pour trouver des vulnérabilités dans le code source. Il parle également du lancement de la GitHub Advisory Database, une base de données publique permettant de consulter les vulnérabilités reconnues par GitHub.
« La mission de GitHub Security Lab est d’inspirer et de permettre à la communauté mondiale de recherche en sécurité de sécuriser le code mondial. Notre équipe montrera l’exemple en consacrant des ressources à plein temps à la recherche et à la notification des vulnérabilités dans les projets open source primordiaux. Notre équipe a déjà répertorié plus de 100 CVE pour des vulnérabilités de sécurité qu’elle a aidé à identifier« , indique Jamie Cool. 

Pour soutenir cette sécurisation du code, Jamie Cool annonce : « nous avons aujourd’hui des partenaires qui se sont engagés à atteindre cet objectif ». Il cite F5, Google, HackerOne, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, Groupe de la CCN, Oracle, Trail of Bits, Uber et VMWare.