github.blog

Sécurité

Securing the open source supply chain across GitHub

Cet article traite des nouvelles menaces pesant sur la chaîne d'approvisionnement open source, en mettant l'accent sur l'exfiltration de secrets à partir des workflows de GitHub Actions. Il propose des mesures de sécurité, notamment l'utilisation de CodeQL pour examiner la mise en œuvre des workflows, la nécessité de pinner les Actions tierces et d'éviter l'injection de scripts. GitHub travaille à améliorer la sécurité de sa plateforme à travers des partenariats et des améliorations continues dans la détection de malware. Les développeurs sont encouragés à adopter ces nouvelles mesures pour se protéger contre les attaques.

github.blog

github actionsopenid connectapi
Fullstack

Run multiple agents at once with /fleet in Copilot CLI

GitHub Copilot a introduit la commande '/fleet' qui permet d'exécuter plusieurs agents en parallèle sur des fichiers différents. Cela permet de décomposer des tâches en éléments de travail indépendants, optimisant ainsi le processus de développement. Les prompts doivent être structurés pour permettre une exécution efficace et éviter les chevauchements dans l'accès aux fichiers. Ce système est particulièrement utile pour des tâches comme le refactoring ou la génération de documentation sur plusieurs composants simultanément.

github.blog

github copilotagentscli
Fullstack

Agent-driven development in Copilot Applied Science

L'auteur décrit comment il a automatisé son travail d'analyse de performances de systèmes d'IA en utilisant GitHub Copilot, réduisant la nécessité de traiter de vastes quantités de code. Il partage ses expériences d'automatisation et les leçons apprises sur l'utilisation de Copilot pour collaborer efficacement avec son équipe, en mettant l'accent sur des stratégies de conduite de projet et de développement d'agents de codage.

github.blog

vscodeclaude opus 4.6github copilot
Sécurité

GitHub for Beginners: Getting started with GitHub security

Cet article propose une introduction aux fonctionnalités de sécurité offertes par GitHub, en mettant l'accent sur l'importance de sécuriser le code source contre les vulnérabilités. Il décrit des outils tels que le scan de secrets, Dependabot, et la numérisation de code, soulignant comment ces fonctionnalités facilitent la détection et la résolution des problèmes de sécurité dans les dépôts. L'article fournit également des instructions sur l'activation de ces outils dans un dépôt et explique comment utiliser Copilot Autofix pour corriger les alertes de sécurité.

github.blog

codeqldependabotgithub
Sécurité

What's coming to our GitHub Actions 2026 security roadmap

Cet article présente la feuille de route pour 2026 sur la sécurité de GitHub Actions. Elle aborde les menaces récentes sur la chaîne d'approvisionnement logicielle et propose des solutions pour sécuriser les workflows CI/CD. Les nouvelles mesures incluent un verrouillage des dépendances pour une exécution déterministe, une réduction de la surface d'attaque avec des politiques d'exécution sécurisées, et des mises à jour pour assurer une sécurité renforcée et une visibilité complète sur l'ensemble des dépendances des workflows.

github.blog

github actionsci/cdyaml
Sécurité

A year of open source vulnerability trends: CVEs, advisories, and malware

En 2025, GitHub a observé une diminution des avis de sécurité, mais cela ne signifie pas moins de vulnérabilités car les nouvelles vulnérabilités ont augmenté de 19%. La base de données des avis de GitHub continue d'évoluer avec une réévaluation des vulnérabilités existantes et une augmentation des alertes liées aux malwares, en particulier pour npm. Des systèmes de notation tels que le CVSS et l'EPSS sont recommandés pour prioriser les réponses aux vulnérabilités, tandis que la classification CWE s'est améliorée pour une meilleure précision dans le rapport des failles.

github.blog

github advisory databasenpmcve
Autre

Updates to GitHub Copilot interaction data usage policy

GitHub annonce une mise à jour concernant l'utilisation des données d'interaction avec GitHub Copilot pour améliorer les modèles d'IA. À partir du 24 avril, les données d'utilisation des utilisateurs Pro seront utilisées pour l'entraînement, à moins qu'ils ne choisissent de se désinscrire. Cette démarche vise à optimiser les suggestions de code et à détecter les bugs avant leur mise en production. Les utilisateurs peuvent opt-out de cette collecte de données via leurs paramètres de confidentialité. Les améliorations basées sur les données réelles des utilisateurs promettent un meilleur support pour les développeurs.

github.blog

github copilotmachine learningai
Autre

Building AI-powered GitHub issue triage with the Copilot SDK

L'article présente la création d'une application de triage d'incidents GitHub, appelée IssueCrush, utilisant le SDK de GitHub Copilot. Ce dernier permet d'intégrer l'IA dans des applications, facilitant ainsi la gestion des problèmes en fournissant des résumés automatiques des incidents. L'intégration pose des défis techniques, notamment l'utilisation du CLI de Copilot sur un serveur pour éviter les fuites de sécurité et optimiser les performances. L'auteur partage des leçons apprises sur la gestion des sessions et l'ingénierie des requêtes pour rendre le triage d'incidents plus efficace.

github.blog

json-rpcreact nativegithub copilot
Sécurité

GitHub expands application security coverage with AI‑powered detections

GitHub annonce l'introduction de détections de sécurité alimentées par l'IA dans GitHub Code Security pour élargir la couverture de la sécurité des applications à plusieurs langages et frameworks. Ce système hybride associe l'analyse statique avec des détections basées sur l'IA pour identifier les vulnérabilités, notamment dans les configurations de Shell/Bash, Dockerfiles, Terraform et PHP. Les résultats de détection s'affichent directement dans le flux de travail des demandes de tirage, permettant aux développeurs de corriger les problèmes rapidement grâce à l'outil Copilot Autofix, facilitant ainsi une intégration sécurisée sans ralentir le développement.

github.blog

githubcodeqlai
Fullstack

How Squad runs coordinated AI agents inside your repository

L'article présente Squad, un projet open source qui facilite le développement d'agents intelligents coordonnés dans un dépôt. Contrairement à d'autres systèmes qui nécessitent une orchestration complexe, Squad configure une équipe spécialisée (développeurs frontend, backend et testeurs) directement dans le dépôt avec une simple commande. Les agents travaillent indépendamment pour produire du code tout en conservant le contexte du projet. Des méthodes telles que le modèle 'drop-box' pour la mémoire partagée et la réplication de contexte sont utilisées pour améliorer la collaboration entre les agents. L'article met en avant les bénéfices de cette approche pour une gestion plus efficace des tâches de développement.

github.blog

multi-agent systemsaigithub copilot