Les Content Security Policies (CSP) sont des outils de sécurité souvent négligés lors de la construction de sites web. Le package Laravel CSP de Spatie simplifie leur mise en œuvre en proposant des presets pour des services tiers, permettant ainsi une configuration plus facile et efficace des en-têtes CSP, et aidant à protéger contre des attaques comme le XSS.
L'article traite de l'importance de la sécurité applicative intégrée dès la conception des projets de développement. Avec l'évolution des applications et leur exposition accrue via des API et des services cloud, le code devient primordial dans la lutte contre les failles de sécurité. Les développeurs doivent considérer chaque commit comme une potentielle vulnérabilité et adopter une culture de sécurité au sein des équipes pour anticiper les problèmes au lieu de les gérer a posteriori. Des bonnes pratiques et des outils sont proposés pour améliorer la sécurité dans le développement.
Le mois d'octobre 2025 marque le début de la Cybersecurity Awareness Month, où GitHub met en avant l'importance de la sécurité dans le développement logiciel. Ce mois-ci, des incitations supplémentaires de 10 % sont offertes pour la soumission de vulnérabilités valides liées à certaines fonctionnalités de Copilot, GitHub Spark et Copilot Spaces. Un évènement, la Glass Firewall Conference, sera aussi organisé pour soutenir les femmes dans la recherche en cybersécurité. Des chercheurs seront mis en lumière à travers des interviews, partageant leurs expériences dans le cadre du programme de Bug Bounty de GitHub.
Le système Entry/Exit (EES) de l'Union européenne, prévu pour le 12 octobre 2025, introduira la collecte automatisée de données biométriques pour tous les voyageurs non-européens. Cela inclut des empreintes digitales et des photographies faciales, modifiant les contrôles aux frontières et les obligations des entreprises. Le système centralisé géré par eu-LISA devra gérer de nombreux défis techniques, y compris le traitement des données en temps réel et l'interopérabilité des appareils biométriques, tout en garantissant la sécurité et la fluidité des flux de voyageurs.
Bitbucket a annoncé la dépréciation de l'utilisation des mots de passe d'application au profit d'un nouveau système de jetons d'API. Ce changement impacte les organisations utilisant Private Packagist avec des synchronisations de Workspace sur Bitbucket Cloud. Les mots de passe d'application cesseront de fonctionner le 9 juin 2026. Les jetons d'API offrent une méthode d'authentification plus sécurisée et plus de flexibilité pour les administrateurs. Les utilisateurs sont encouragés à migrer vers les jetons d'API dès que possible. Des étapes de migration sont fournies, ainsi qu'un soutien en cas de besoin.
L'article présente Warpgate, un bastion moderne et open source simplifiant la gestion des accès sécurisés, notamment pour SSH et PostgreSQL. Il permet une installation rapide via un binaire ou une image Docker, et offre une authentification centralisée avec audit en direct. L'interface utilisateur est intuitive, et Warpgate centralise les accès tout en garantissant la sécurité des données. Une solution efficace pour les développeurs cherchant à sécuriser leurs serveurs sans complexité.
Cet article aborde les récents incidents de sécurité au sein de l'écosystème open source, notamment des attaques sur le registre npm qui ont permis à des acteurs malveillants de distribuer des logiciels malicieux. GitHub a agi rapidement en retirant des paquets compromis et en renforçant la sécurité du système de publication npm avec des méthodes telles que l'authentification à deux facteurs et la publication de confiance. L'article souligne l'importance de la collaboration de la communauté pour renforcer la sécurité de la chaîne d'approvisionnement logicielle.
Cet article présente comment générer des mots de passe sécurisés en JavaScript en comparant l'utilisation de Math.random() et de l'API Web Crypto. Il explique pourquoi Math.random() n'est pas sûr et propose des solutions pour générer des mots de passe de manière cryptographiquement sécurisée, y compris l'utilisation du rejection sampling et la nécessité de valider les mots de passe côté serveur. L'utilisation du HTTPS est également soulignée pour garantir la sécurité lors de l'utilisation de l'API Web Crypto.
Cet article explique comment configurer des disques durs et SSD avec LUKS pour assurer leur chiffrement et en faciliter l'accès automatique au démarrage, minimisant ainsi la saisie répétée de mots de passe. L'auteur partage également les raisons pour lesquelles le chiffrement est essentiel pour protéger ses données, surtout en cas de vol ou de perte de l'appareil, et propose une méthode pour automatiser le déverrouillage de plusieurs volumes en utilisant une chaîne de confiance liée au disque principal.
GitHub annonce l'implémentation d'un nouvel algorithme d'échange de clés SSH sécurisé contre les attaques quantiques, qui combine un algorithme post-quantique avec un algorithme classique pour garantir la protection des données contre de futures décryptages, rendant ainsi l'accès aux données Git plus sécurisé. Ce changement ne concerne que l'accès via SSH et sera effectif à partir du 17 septembre 2025, améliorant la sécurité sans affecter la plupart des utilisateurs.
