GitHub veut empêcher que les développeurs partagent des secrets

Pierre Dandumont |

GitHub, qui appartient à Microsoft, vient d'annoncer qu'une nouvelle fonction avait été déployée en masse pour tous les utilisateurs : le secret scanning. L'idée est simple : empêcher un développeur distrait de publier des données qui devraient rester secrètes, comme les identifiants de connexion à un service de cloud.

Détection et désactivation

Le communiqué donne un exemple pratique : un développeur a scanné 13 954 dépôts et a trouvé 1 353 secrets différents dans 1 110 des dépôts. Il peut s'agir de codes d'accès à des API, à des services de cloud (comme AWS), des clés privées, etc.

Timo Klostermeier, CC-BY 2.0

La technologie repose sur un partenariat entre GitHub et les sociétés dont les données peuvent poser des soucis de sécurités si elles se retrouvent dans la nature. Le fonctionnement consiste en plusieurs étapes, et la première est évidemment de fournir une expression régulière qui va permettre de détecter la présence des données en question. Il s'agit d'un morceau de code qui permet de vérifier si la structure d'une variable correspond à celle d'un identifiant connu, par exemple. La seconde étape, une fois une structure détectée, consiste à créer un service qui va permettre de vérifier si la structure détectée est bien valide (il peut y avoir des faux positifs).

Enfin, les partenaires peuvent décider de révoquer automatiquement les données qui deviennent publiques, ou de simplement prévenir la personne qui a envoyé les informations. De même, il est possible de gérer les faux positifs, pour éviter les alertes intempestives.

Pour activer la fonction, il faut vous rendre dans Settings, puis dans Code security and analysis. La fonction Secret scanning se trouve en bas de la liste et peut être activée pour tous les dépôts mais aussi pour tous les dépôts futurs, de façon automatique.


Tags
avatar Nouvoul | 

Je dois être complètement niais; je croyais que Github était un truc pour "open source" (je ne sais pas comment exprimer ça, gratuit, ouvert à tous et...), et là que vois-je ? : ça appartient à Microsoft.
Soit je n'ai rien compris, soit je suis trop aveuglément confiant en ces plateformes "libres" 😕

avatar PIN_1234 | 

@Nouvoul

Il y a GitLab aussi qui lui ne dépend pas de Microsoft

avatar dub1t0 | 

@Nouvoul

« GIT » est un paquet (grosso modo une sorte d’application) présente au coeur du noyaux Linux, qui permet, entre autres, de suivre les modifications du code (programmation informatique) afin de pouvoir revenir en arrière et qui permet aussi aux développeurs de collaborer plus simplement.
Oui « GIT » est libre (code ouvert, vérifiable et modifiable).

Par contre, Github est une plateforme (accessible par navigateur, application web donc) utilisant GIT et proposant des fonctionnalités en plus.
Les projets hébergés (nommés « dépôts ») sur Github, peuvent être « ouverts » (comprenez, consultables publiquement) ou privé (non visibles et donc non consultables publiquement).

Et oui la plateforme Github a été rachetée par Microsoft récemment (2020) si je ne me trompe pas.

avatar fornorst | 

@dub1t0

Pour être un peu plus précis, git n’est pas inclus dans le noyau Linux, c’est une application distincte du noyau. Par contre, c’est une application qui a été initialement développée pour aider au développement du noyau Linux effectivement. Et, qui plus est, par non autre que Linus Torvald, le créateur et principal maintainer de ce même noyau ! Il l’a fait car les autres solutions ne répondaient soit pas à son besoin (base de code importante, nombreux contributeurs, …) soit étaient propriétaires et potentiellement payantes.

avatar hirtrey | 

@Nouvoul

Ça n’a rien à voir. Quand tu parles d’open source, tu parles du codes source d’un logiciel. Mais ce code source peut être développé de manière collaboratif ou par une société.

GitHub était une société qui a été racheté par Microsoft, mais même avant cela certaine fonctionnalité étaient payante. Idem pour gitlab.

Ajout: la plupart des dépôts hébergés sur github sont bien open source.

avatar kadelka | 

@Nouvoul

GitHub est un dépôt de code source.
Ça te permet de l’historiser (un peu comme Time Machine en très simple).

Alors ça permet plus mais la fonction primaire, c’est ça.

Tu peux y déposer du code ouvert à tous ou pas (publique vs privé).
Microsoft a racheté la société il y a 2-3 ans de ça.
Pour l’instant, le bilan est positif mais évidemment, tout le monde reste vigilant :)

Edit : ça déchaîne les passions ton commentaire 😄

avatar Baptiste_nv18 | 

@Nouvoul

Open source ne veut pas dire gratuit.

avatar lpierrot | 

@Nouvoul

Oui Github appartient à Microsoft. Mais ce n’est pas incompatible avec les projets Open source.

Il faut bien savoir que Microsoft développe des projets open source et pas des moindres. 😉

avatar marc_os | 

@ lpierrot

> Microsoft développe des projets open source et pas des moindres.

Lesquels par exemple ?
Mettent-ils en open-source des projets aussi importants que le noyau de Windows comme le fait Apple par exemple avec darwin ou libdispatch brique primordiale pour la "concurrency" (qui est utilisable sous Linux), et même Swift ?
(Je pose la question par curiosité.)

avatar lolcubz | 

@marc_os

Visual Studio Code, VSC pour les intimes s'est imposé ces dernières années comme l'IDE incontournable et il est presque totalement open source.

avatar LoossSS | 

https://github.com/microsoft

Oui Microsoft propose certains softs en open source dont notamment VSCode, le terminal, typescript, Xamarin.. dans les plus connus..

Contrairement à ce que tu sembles croire, Microsoft est aussi le plus gros contributeur au développement opensource aussi.. devant Google et bien entendu Apple qui n'est même pas dans le top 10
https://www.fosslife.org/5-biggest-open-source-contributors
https://statisticsanddata.org/data/top-companies-contributing-to-open-source-2011-2020/

CONNEXION UTILISATEUR