GitHub veut empêcher que les développeurs partagent des secrets

Pierre Dandumont | 02/03/2023 à 17:00

GitHub, qui appartient à Microsoft, vient d'annoncer qu'une nouvelle fonction avait été déployée en masse pour tous les utilisateurs : le secret scanning. L'idée est simple : empêcher un développeur distrait de publier des données qui devraient rester secrètes, comme les identifiants de connexion à un service de cloud.

Détection et désactivation

Le communiqué donne un exemple pratique : un développeur a scanné 13 954 dépôts et a trouvé 1 353 secrets différents dans 1 110 des dépôts. Il peut s'agir de codes d'accès à des API, à des services de cloud (comme AWS), des clés privées, etc.

La technologie repose sur un partenariat entre GitHub et les sociétés dont les données peuvent poser des soucis de sécurités si elles se retrouvent dans la nature. Le fonctionnement consiste en plusieurs étapes, et la première est évidemment de fournir une expression régulière qui va permettre de détecter la présence des données en question. Il s'agit d'un morceau de code qui permet de vérifier si la structure d'une variable correspond à celle d'un identifiant connu, par exemple. La seconde étape, une fois une structure détectée, consiste à créer un service qui va permettre de vérifier si la structure détectée est bien valide (il peut y avoir des faux positifs).

Enfin, les partenaires peuvent décider de révoquer automatiquement les données qui deviennent publiques, ou de simplement prévenir la personne qui a envoyé les informations. De même, il est possible de gérer les faux positifs, pour éviter les alertes intempestives.

Pour activer la fonction, il faut vous rendre dans Settings, puis dans Code security and analysis. La fonction Secret scanning se trouve en bas de la liste et peut être activée pour tous les dépôts mais aussi pour tous les dépôts futurs, de façon automatique.

Distrait par Twitter, Elon Musk freinerait le programme de conduite autonome de Tesla

Promo : MacBook Air M1 à 949 €, M2 à 1 299 € avec chèque cadeau 🆕

Disparition de Gordon Moore, cofondateur d’Intel

Apple Watch : un bracelet Spigen à look Ultra et petit prix

DS723+ : aperçu du nouveau NAS Synology 2 baies puissant et complet 📍

Nouvoul | 02/03/2023 à 18:03

Je dois être complètement niais; je croyais que Github était un truc pour "open source" (je ne sais pas comment exprimer ça, gratuit, ouvert à tous et...), et là que vois-je ? : ça appartient à Microsoft.
Soit je n'ai rien compris, soit je suis trop aveuglément confiant en ces plateformes "libres" 😕

PIN_1234 | 02/03/2023 à 18:10

@Nouvoul

Il y a GitLab aussi qui lui ne dépend pas de Microsoft

dub1t0 | 02/03/2023 à 18:23

@Nouvoul

« GIT » est un paquet (grosso modo une sorte d’application) présente au coeur du noyaux Linux, qui permet, entre autres, de suivre les modifications du code (programmation informatique) afin de pouvoir revenir en arrière et qui permet aussi aux développeurs de collaborer plus simplement.
Oui « GIT » est libre (code ouvert, vérifiable et modifiable).

Par contre, Github est une plateforme (accessible par navigateur, application web donc) utilisant GIT et proposant des fonctionnalités en plus.
Les projets hébergés (nommés « dépôts ») sur Github, peuvent être « ouverts » (comprenez, consultables publiquement) ou privé (non visibles et donc non consultables publiquement).

Et oui la plateforme Github a été rachetée par Microsoft récemment (2020) si je ne me trompe pas.

fornorst | 02/03/2023 à 20:10

@dub1t0

Pour être un peu plus précis, git n’est pas inclus dans le noyau Linux, c’est une application distincte du noyau. Par contre, c’est une application qui a été initialement développée pour aider au développement du noyau Linux effectivement. Et, qui plus est, par non autre que Linus Torvald, le créateur et principal maintainer de ce même noyau ! Il l’a fait car les autres solutions ne répondaient soit pas à son besoin (base de code importante, nombreux contributeurs, …) soit étaient propriétaires et potentiellement payantes.

hirtrey | 02/03/2023 à 18:28

@Nouvoul

Ça n’a rien à voir. Quand tu parles d’open source, tu parles du codes source d’un logiciel. Mais ce code source peut être développé de manière collaboratif ou par une société.

GitHub était une société qui a été racheté par Microsoft, mais même avant cela certaine fonctionnalité étaient payante. Idem pour gitlab.

Ajout: la plupart des dépôts hébergés sur github sont bien open source.

kadelka | 02/03/2023 à 18:30

@Nouvoul

GitHub est un dépôt de code source.
Ça te permet de l’historiser (un peu comme Time Machine en très simple).

Alors ça permet plus mais la fonction primaire, c’est ça.

Tu peux y déposer du code ouvert à tous ou pas (publique vs privé).
Microsoft a racheté la société il y a 2-3 ans de ça.
Pour l’instant, le bilan est positif mais évidemment, tout le monde reste vigilant :)

Edit : ça déchaîne les passions ton commentaire 😄

Baptiste_nv18 | 02/03/2023 à 20:07

@Nouvoul

Open source ne veut pas dire gratuit.

lpierrot | 02/03/2023 à 21:11

@Nouvoul

Oui Github appartient à Microsoft. Mais ce n’est pas incompatible avec les projets Open source.

Il faut bien savoir que Microsoft développe des projets open source et pas des moindres. 😉

marc_os | 03/03/2023 à 14:25

@ lpierrot

> Microsoft développe des projets open source et pas des moindres.

Lesquels par exemple ?
Mettent-ils en open-source des projets aussi importants que le noyau de Windows comme le fait Apple par exemple avec darwin ou libdispatch brique primordiale pour la "concurrency" (qui est utilisable sous Linux), et même Swift ?
(Je pose la question par curiosité.)