Github

Sécurité

New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents

Des chercheurs de Pillar Security ont découvert une nouvelle méthode d'attaque de la chaîne d'approvisionnement, baptisée 'Rules File Backdoor', qui permet aux hackers de compromettre silencieusement le code généré par l'IA en injectant des instructions malveillantes dans des fichiers de configuration apparemment innocents utilisés par GitHub Copilot et Cursor. Ces fichiers sont perçus comme inoffensifs et sont souvent intégrés sans validation adéquate, ce qui permet aux attaquants d'exploiter la compréhension contextuelle de l'IA pour insérer des vulnérabilités ou des portes dérobées dans le code généré, affectant potentiellement des millions d'utilisateurs finaux.

www.pillar.security

github
Autre

GitHub for Beginners: How to get LLMs to do what you want

Cet article de la série "GitHub pour débutants" explore l'utilisation des grands modèles de langage (LLMs) et l'importance de l'ingénierie des invites pour interagir efficacement avec ces modèles. Il explique comment les LLMs fonctionnent, comment structurer des invites claires et précises pour obtenir des réponses pertinentes, ainsi que les limitations et la manière de les surmonter. Plusieurs éléments clés de la mise en œuvre de cette technique sont abordés, montrant que des instructions appropriées peuvent significativement améliorer les résultats obtenus de ces outils d'IA.

github.blog

github
Sécurité

A maintainer's guide to vulnerability disclosure: GitHub tools to make it simple

Cet article guide les mainteneurs de projets open source sur la gestion des rapports de vulnérabilités. Il met en avant l'importance de la divulgation coordonnée (CVD) pour protéger les utilisateurs en résolvant les problèmes de sécurité avant qu'ils ne deviennent publics. L'article présente des outils GitHub comme le Reporting Privé de Vulnérabilités (PVR) et les avis de sécurité pour faciliter la collaboration sur les correctifs, tout en conservant la sécurité des discussions. En suivant une série d'étapes claires, les mainteneurs peuvent gérer efficacement les vulnérabilités.

github.blog

github
Autre

GitHub Availability Report: February 2025

Le rapport de disponibilité de GitHub pour février 2025 évoque deux incidents ayant entraîné une dégradation des performances. Le premier incident, survenu le 25 février, concernait des retards de livraison des notifications, causés par des pools de travailleurs trop chargés. Le second, le 3 février, était une panne totale de migration due à des images Docker manquantes, résolue en restaurant la version stable précédente. GitHub améliore sa capacité de planification pour éviter ces problèmes à l'avenir.

github.blog

github
Autre

Engaging with the developer community on our approach to content moderation

GitHub annonce la mise à jour de son Centre de Transparence avec des données de 2024. L'entreprise souligne son engagement à impliquer les développeurs dans la modération de contenu, partageant ses pratiques et recherchant des retours sur ses politiques. Ils souhaitent favoriser le dialogue avec la communauté des développeurs, en participant à des événements comme FOSDEM et en invitant à contribuer à leurs dépôts de politiques.

github.blog

github
Autre

Support the open source projects you love this Valentine’s Day

Cet article encourage à soutenir les projets open source pour la Saint-Valentin. Il met en avant l'importance de la contribution financière aux mainteneurs de projets qui, souvent, travaillent bénévolement. Le texte décrit les avantages de la sponsorship, tels que l'amélioration de la visibilité et de la qualité des projets. Il propose des conseils sur la manière d'identifier les projets critiques et d'engager des contributions, qu'elles soient financières ou techniques, pour renforcer l'écosystème open source.

github.blog

github
Autre

What’s New in Private Packagist, February Update

Cet article présente les nouveautés de Private Packagist, notamment le support pour les métadonnées php-ext, des améliorations de l'intégration GitHub, des mises à jour de sécurité et une meilleure gestion des organisations. Les utilisateurs peuvent désormais installer des extensions PHP directement à partir de dépôts Packagist privés, et des notifications de sécurité plus détaillées sont également fournies. De plus, la terminologie a été clarifiée en renommant les sous-dépôts en sous-organisations.

blog.packagist.com

github
Autre

GitHub Availability Report: January 2025

En janvier 2025, GitHub a rencontré trois incidents majeurs affectant ses services, notamment des dégradations de performances dues à des déploiements, des changements de configuration et des défaillances matérielles. Des mesures de mitigation ont été mises en œuvre, incluant des retours en arrière et des investissements dans des outils pour détecter les problèmes plus tôt afin d'améliorer la fiabilité des services à l'avenir.

github.blog

github
Sécurité

From finding to fixing: GitHub Advanced Security integrates Endor Labs SCA

Avec l'augmentation dramatique des vulnérabilités de sécurité dans les dépendances open source, GitHub collabore avec Endor Labs pour aider les développeurs à gérer et prioriser ces risques. Grâce à l'analyse de la composition logicielle d'Endor Labs, les équipes peuvent se concentrer sur les alertes de sécurité critiques en réduisant le bruit des fausses alertes. GitHub Advanced Security, qui intègre des fonctionnalités telles que l'analyse statique et le scanning de secrets, permet de remédier rapidement aux vulnérabilités. En automatisant la gestion des dépendances et en fournissant des outils de sécurité intégrés, GitHub facilite la création de workflows sécurisés pour les développeurs, tout en maintenant la conformité avec les normes de sécurité.

github.blog

github
Autre

5 tips for promoting your open source project

Cet article fournit des conseils pratiques pour promouvoir un projet open source sur GitHub. Il aborde des stratégies de marketing, l'importance de la documentation claire, la réactivité aux contributions, et l'importance d'accueillir les contributeurs avec des directives claires. L'auteur met l'accent sur la nécessité de communiquer clairement le problème résolu par le projet et d'encourager l'engagement de la communauté.

github.blog

github