Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Gérez vos PRs et issues GitHub comme un pro avec gh-dash

gh-dash est une extension pour l’interface en ligne de commande gh de GitHub qui va vous permettre de visualiser et d’interagir avec vos Pull Requests et Issues dans un tableau de bord ultra-pratique, entièrement configurable selon vos besoins.

Vous lancez gh-dash dans votre terminal, et d’un coup d’œil, vous avez comme ça une vue d’ensemble de toutes les pull requests qui vous concernent, que ce soit celles que vous avez créées, celles qui attendent votre revue ou encore celles auxquelles vous êtes abonné. Idem pour les issues, regroupées par catégories : celles que vous avez ouvertes, celles qui vous sont assignées, celles que vous suivez… Et tout cela, trié et filtré exactement comme vous le souhaitez grâce à la puissance des filtres GitHub.

L’outil permet de définir des sections en utilisant des filtres GitHub, de rechercher des PRs et des issues, et de personnaliser les colonnes avec les propriétés hidden, width et grow. Vous pouvez également visualiser les détails d’une PR ou issue via une barre latérale détaillée. De plus, gh-dash permet d’agir directement sur vos PRs et issues depuis le tableau de bord.

Vous voulez faire un checkout sur une branche pour une PR ? Ajouter un commentaire ? Fusionner une PR ? Ouvrir une issue dans votre navigateur ? Toutes ces actions sont à portée de main, d’un simple raccourci clavier. Vous pouvez même définir vos propres raccourcis personnalisés pour lancer les commandes de votre choix.

Vous pouvez aussi choisir un thème visuel pour avoir un rendu plus joli (surtout si vous avez installé une police Nerd Font), et même définir plusieurs fichiers de configuration pour basculer entre différents tableaux de bord selon vos besoins. Vous pouvez ajuster divers paramètres dans votre fichier config.yml comme le nombre de résultats maximum par section, l’intervalle de rafraîchissement automatique du tableau de bord, les chemins vers les dépôts pour le checkout… Bref, de quoi avoir un outil qui s’adapte parfaitement à votre workflow.

Pour installer gh-dash, assurez-vous d’abord d’avoir une version minimum de gh (2.0.0). Ensuite, vous pouvez installer l’extension en exécutant la commande suivante :

gh extension install dlvhdr/gh-dash

A vous de jouer maintenant !

Source

WebCopilot : L’ultime outil d’automatisation pour les chasseurs de bugs 🚀

Les chasseurs de bugs et les experts en sécurité web sont toujours à la recherche d’outils pour optimiser leur boulot et dénicher des vulnérabilités et justement, il y a un nouveau venu qui risque bien de faire parler de lui : WebCopilot !

Open source, cet outil d’automatisation combine les fonctionnalités de dizaines d’autres outils réputés comme Subfinder, Nuclei, Amass ou encore SQLMap histoire de vous faire gagner un temps précieux en prenant en charge de A à Z les tâches répétitives et chronophages de l’énumération des sous-domaines, du filtrage des paramètres à risque et du scan des vulnérabilités les plus critiques.

Pour cela, il suffit de lancer WebCopilot sur un domaine cible et il s’occupe de tout :

  • Énumération des sous-domaines via une batterie d’outils (Assetfinder, Sublist3r, Amass, Findomain…)
  • Crawl de tous les endpoints des sous-domaines identifiés
  • Filtrage des paramètres potentiellement vulnérables aux failles XSS, SQLi, LFI, SSRF, Open Redirect… grâce aux patterns de l’outil gf
  • Et enfin, scan des vulnérabilités via des outils comme Nuclei, Dalfox, kxss, SQLMap ou crlfuzz

Vous obtiendrez ensuite un rapport complet qui répertoriera tous les points d’entrée intéressants.

             
                                ──────▄▀▄─────▄▀▄
                                ─────▄█░░▀▀▀▀▀░░█▄
                                ─▄▄──█░░░░░░░░░░░█──▄▄
                                █▄▄█─█░░▀░░┬░░▀░░█─█▄▄█
 ██╗░░░░░░░██╗███████╗██████╗░░█████╗░░█████╗░██████╗░██╗██╗░░░░░░█████╗░████████╗
░██║░░██╗░░██║██╔════╝██╔══██╗██╔══██╗██╔══██╗██╔══██╗██║██║░░░░░██╔══██╗╚══██╔══╝
░╚██╗████╗██╔╝█████╗░░██████╦╝██║░░╚═╝██║░░██║██████╔╝██║██║░░░░░██║░░██║░░░██║░░░
░░████╔═████║░██╔══╝░░██╔══██╗██║░░██╗██║░░██║██╔═══╝░██║██║░░░░░██║░░██║░░░██║░░░
░░╚██╔╝░╚██╔╝░███████╗██████╦╝╚█████╔╝╚█████╔╝██║░░░░░██║███████╗╚█████╔╝░░░██║░░░
░░░╚═╝░░░╚═╝░░╚══════╝╚═════╝░░╚════╝░░╚════╝░╚═╝░░░░░╚═╝╚══════╝░╚════╝░░░░╚═╝░░░
                                                      [●] @h4r5h1t.hrs | G!2m0

Usage:
webcopilot -d <target>
webcopilot -d <target> -s
webcopilot [-d target] [-o output destination] [-t threads] [-b blind server URL] [-x exclude domains]

Flags:  
  -d        Add your target [Requried]
  -o        To save outputs in folder [Default: domain.com]
  -t        Number of threads [Default: 100]
  -b        Add your server for BXSS [Default: False]
  -x        Exclude out of scope domains [Default: False]
  -s        Run only Subdomain Enumeration [Default: False]
  -h        Show this help message

Example: webcopilot  -d domain.com -o domain -t 333 -x exclude.txt -b testServer.xss
Use https://xsshunter.com/ or https://interact.projectdiscovery.io/ to get your server

Fini les heures passées à lancer des dizaines de commandes et à corréler les résultats comme ça, vous pourrez vous concentrer sur l’analyse des vulnérabilités.

Côté utilisation, c’est ultra simple. Il suffit de cloner le repo Github, d’installer les dépendances…

git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh

…et vous pouvez lancer des scans en une seule commande :

webcopilot -d domain.com -o rapport

Et si vous voulez pousser la configuration plus loin, pas de problème ! WebCopilot propose tout un tas d’options bien pratiques comme :

  • -s pour ne faire que de l’énumération de sous-domaines
  • -x pour exclure certains domaines du scan
  • -b pour spécifier un serveur « blind XSS » externe
  • -t pour régler le nombre de threads et accélérer les scans

Bref, c’est l’outil pratique pour industrialiser encore un peu plus votre processus de bug bounty.

A découvrir ici !

GitHub Copilot Workspace – L’environnement de dev piloté par l’IA !

J’espère que vous êtes bien installés dans votre cockpit, parce que GitHub nous a reservé une sacrée surprise : Copilot Workspace, un environnement de développement nouvelle génération entièrement propulsé par l’IA.

Vous connaissez sûrement déjà GitHub Copilot, ce fidèle acolyte qui nous assiste depuis l’année dernière en nous soufflant des suggestions de code directement dans votre IDE, et bien avec Copilot Workspace, GitHub veut carrément révolutionner la façon de concevoir des logiciels.

L’idée est simple : vous exprimez ce que vous voulez faire en langage naturel, comme si vous discutiez avec votre pote développeur et Copilot Workspace vous aide à transformer votre concept en réalité, étape par étape.

Par exemple, si vous avez une idée de fonctionnalité à ajouter à votre projet, vous ouvrez Copilot Workspace, vous saisissez une description de ce que vous voulez faire, et hop ! L’IA analyse votre requête, génère un plan d’action détaillé, et vous guide tout au long du processus de développement.

Brainstorming, planification, implémentation, tests… Chaque phase est assistée par Copilot Workspace qui vous fera des suggestions, répondra à vos questions, et automatisera un maximum de tâches fastidieuses, le tout de manière transparente et collaborative.

Le top du top, c’est que tout est « steerable » comme ils disent chez GitHub. Cela veut dire que vous gardez le contrôle à tout moment et chaque suggestion de l’IA peut être affinée, modifiée ou rejetée selon vos désirs. Bref, vous restez le pilote et Copilot n’est que votre copilote (et gardez votre culotte) !

D’ailleurs, Copilot Workspace vous permet d’orienter le système via le langage naturel à 2 endroits : en modifiant la spécification (une description de la base de code actuelle et de l’état souhaité) et en modifiant le plan (une liste d’actions à entreprendre dans chaque fichier). Cela vous permet de guider le système vers la solution que vous souhaitez mettre en œuvre. Cette capacité de pilotage est essentielle, car elle permet aux développeurs de dépasser les limites de la taille des suggestions, en imitant la façon dont ils travaillent sur des problèmes réels. Cela se traduit par un code généré plus précis et plus facile à évaluer.

Une fois votre code écrit, vous pouvez le valider et l’exécuter directement dans l’environnement, histoire de vérifier que tout roule comme sur des roulettes. Chaque Copilot Workspace permet une synchronisation en direct avec les Codespaces, ce qui vous permet d’ouvrir un terminal, d’installer des dépendances et d’exécuter votre code directement depuis l’espace de travail. Et si vous avez besoin d’outils plus avancés, hop, vous basculez dans un Codespace pour retrouver une expérience d’IDE complète dans le cloud, avec un serveur exécutant VS Code.

Côté collaboration, vous pouvez partager un instantané de votre Workspace avec vos petits camarades en un clic, pour recueillir leur feedback ou les laisser expérimenter leurs propres idées. S’ils font partie de la preview technique, ils pourront même forker votre Workspace et itérer dessus. Par contre, si vous apportez des modifications à votre Workspace après l’avoir partagé, ces changements ne seront pas reflétés dans la version partagée. Il faudra alors partager un nouveau lien pour transmettre la dernière mouture.

Et le plus chouette, c’est que Copilot Workspace est accessible de partout, même depuis votre smartphone. Comme ça, la prochaine fois que vous avez une illumination en faisant vos courses, vous pourrez directement la prototyper depuis le rayon fromages du supermarché !

Avec cette annonce, GitHub affiche clairement son ambition : démocratiser le développement logiciel en le rendant plus intuitif, plus naturel, plus humain en somme. Leur vision à long terme c’est un monde où tout le monde peut coder aussi simplement qu’on fait du vélo et je dois dire que je suis plutôt emballé par cette perspective puisque je fonctionne déjà comme ça pour mes projets de dev grâce notamment à Cursor.

Sous le capot, Copilot Workspace est propulsé par le modèle GPT-4 Turbo, que les équipes de GitHub ont jugé le plus performant pour cette tâche après avoir testé de nombreuses alternatives. D’ailleurs, c’est intéressant de comparer Copilot Workspace avec les autres fonctionnalités de la gamme Copilot.

Là où Copilot vous aide à écrire du code en faisant des suggestions au fur et à mesure que vous tapez, et où Copilot Chat permet de discuter des changements potentiels, Copilot Workspace est un véritable environnement de développement orienté tâches, qui planifie et rédige des modifications coordonnées sur plusieurs fichiers. Chacun de ces outils a son utilité, et ils se complètent à merveille.

GitHub a surtout compris l’importance d’impliquer les développeurs dans cette aventure. C’est pour ça qu’ils lancent Copilot Workspace en technical preview, histoire de recueillir un maximum de feedback et d’itérer en fonction. Si ça vous tente de jouer les beta-testeurs, c’est par ici pour vous inscrire !

Source

Explorez les secrets des dépôts Git avec Grep.app

Vous êtes-vous déjà demandé ce qui se cache dans les profondeurs obscures des dépôts Git publics ? Eh bien, figurez-vous qu’il y a un outil en ligne qui permet de dénicher des trucs de dingue ! Ça s’appelle Grep.app et c’est un moteur de recherche qui va vous faire halluciner.

Concrètement, vous balancez votre recherche dans la barre et hop, ça vous sort tous les résultats où votre mot-clé apparaît dans les repos Git publics. Genre, vous tapez une adresse email et vous tombez sur tous les endroits où elle est mentionnée. Mais attention, hein… Y a pas que des trucs anodins qui traînent dans ces dépôts. Si vous cherchez un peu, vous pouvez même tomber sur des clés d’API AWS ou Google !

Bon, après faut pas déconner non plus. Si vous tombez sur des clés dans un dépôt public, considérez-les comme grillées direct. Même si le dépôt est supprimé par la suite, y a plein de petits malins qui font ce genre de recherches régulièrement. Donc méfiance !

Cela dit, Github a quand même mis en place un système d’alerte pour les clés, mots de passe, etc qui se retrouvent dans le code. Du coup, y a des chances que la plupart soient invalidées assez vite, soit par le développeur qui change sa clé, soit direct par le fournisseur. Mais on n’est jamais trop prudent…

En parlant de Github, ils ont aussi leur propre outil de recherche de code qui est plutôt balèze. Ça s’appelle Github Code Search. Ça indexe environ 45 millions de dépôts, ce qui est déjà pas mal !

En gros, ils utilisent un moteur de recherche maison qui indexe le contenu avec une technique appelée « sparse ngrams ». D’après eux, ça permet d’exécuter les recherches plus rapidement, tout en étant un index plus petit. Si vous voulez en savoir plus sur la technologie derrière, ils ont publié un article de blog super intéressant.

Maintenant, est-ce que Grep.app est à la hauteur face à Github Code Search ? Difficile à dire… Une chose est sûre, c’est que Grep.app a l’air de se concentrer uniquement sur le code en lui-même. Donc si vous cherchez des chaînes de texte dans de la prose qui se retrouve dans des recherches de code, vous risquez de passer à côté avec Grep.app. Genre pour chercher dans des fichiers texte ou Markdown.

Et ça, c’est un peu dommage. Parce que des fois, on a besoin de chercher du code avec plein de caractères spéciaux vicieux. Et là, la recherche de code actuelle de Github nous laisse tomber. Mais bon, on peut pas tout avoir non plus… En attendant, Grep.app reste quand même un outil bien pratique pour dénicher des infos cachées dans les entrailles de Git. Et puis c’est gratuit et open-source en plus !

❌