Codeql

Sécurité

How exposed is your code? Find out in minutes—for free

Un nouvel outil gratuit d'évaluation des risques de sécurité du code est proposé par GitHub. Il permet d'analyser jusqu'à 20 dépôts actifs pour identifier les vulnérabilités, déterminées par gravité et langage. Un tableau de bord fournit des résultats sur les vulnérabilités trouvées, leur sévérité, ainsi que des recommandations de correction via Copilot Autofix. Ce service s'adresse aux administrateurs d'organisations et responsables sécurité sur GitHub, facilitant ainsi une vue d'ensemble des problèmes de sécurité du code et des secrets d'accès.

github.blog

codeql
Sécurité

GitHub for Beginners: Getting started with GitHub security

Cet article propose une introduction aux fonctionnalités de sécurité offertes par GitHub, en mettant l'accent sur l'importance de sécuriser le code source contre les vulnérabilités. Il décrit des outils tels que le scan de secrets, Dependabot, et la numérisation de code, soulignant comment ces fonctionnalités facilitent la détection et la résolution des problèmes de sécurité dans les dépôts. L'article fournit également des instructions sur l'activation de ces outils dans un dépôt et explique comment utiliser Copilot Autofix pour corriger les alertes de sécurité.

github.blog

codeql
Sécurité

GitHub expands application security coverage with AI‑powered detections

GitHub annonce l'introduction de détections de sécurité alimentées par l'IA dans GitHub Code Security pour élargir la couverture de la sécurité des applications à plusieurs langages et frameworks. Ce système hybride associe l'analyse statique avec des détections basées sur l'IA pour identifier les vulnérabilités, notamment dans les configurations de Shell/Bash, Dockerfiles, Terraform et PHP. Les résultats de détection s'affichent directement dans le flux de travail des demandes de tirage, permettant aux développeurs de corriger les problèmes rapidement grâce à l'outil Copilot Autofix, facilitant ainsi une intégration sécurisée sans ralentir le développement.

github.blog

codeql
Sécurité

Securing the supply chain at scale: Starting with 71 important open source projects

GitHub a lancé le GitHub Secure Open Source Fund pour soutenir les mainteneurs de projets open source avec une formation sur la sécurité, réduisant ainsi les vulnérabilités dans l'écosystème logiciel. Après les deux premières sessions, plus de 1 100 vulnérabilités ont été remédiées, 50 nouvelles expositions de vulnérabilités communes ont été émises, et les projets ont adopté des meilleures pratiques de sécurité. Le programme a également permis des échanges sur l'utilisation de l'IA dans la sécurisation des projets.

github.blog

codeql
Sécurité

How GitHub uses CodeQL to secure GitHub

Cet article décrit comment l'équipe de sécurité des produits de GitHub utilise CodeQL pour analyser et sécuriser le code à grande échelle. Il explique l'utilisation de packs de requêtes personnalisées et d'analyses de variantes pour détecter les pratiques de programmation potentiellement dangereuses. L'article aborde également les défis rencontrés lors de la gestion des dépendances et le processus de publication de nouvelles requêtes CodeQL pour améliorer l'efficacité de l'analyse de sécurité dans les dépôts de GitHub.

github.blog

codeql
Sécurité

CodeQL zero to hero part 4: Gradio framework case study

Cet article présente une étude de cas sur l'utilisation de Gradio, un framework Python pour la démonstration d'applications d'apprentissage automatique, en modélisant le framework avec CodeQL pour identifier des vulnérabilités. L'auteur décrit le processus de recherche de failles de sécurité dans plusieurs projets open source, fournissant des conseils sur l'analyse statique et l'utilisation de CodeQL. Des études antérieures sont mentionnées pour compléter la compréhension de CodeQL et son application à la recherche en sécurité. Des exemples d'interfaces et de blocs Gradio illustrent son utilisation pratique.

github.blog

codeql