FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

GitHub passe au sans mot de passe pour une 2FA plus forte, comme avec les YubiKeys

17 août 2021 à 14:38
Par : UnderNews

GitHub a annoncé hier que la plateforme n'accepte plus les mots de passe pour l'authentification des opérations Git CLI, et nécessitera donc l'utilisation d’identifiants plus forts pour toutes les opérations Git authentifiées sur GitHub.com. Cela inclut les clés SSH (pour les développeurs), les tokens d'installation OAuth ou GitHub App (pour les intégrateurs) ou une clé de sécurité matérielle, telle qu'une YubiKey.

The post GitHub passe au sans mot de passe pour une 2FA plus forte, comme avec les YubiKeys first appeared on UnderNews.

Comment évaluer le niveau de sécurité d’un projet sur Github ?

4 août 2021 à 09:00
Par : Korben

photo of code projected over woman

Je traine beaucoup sur Github et l’une de mes tâches consiste à y trouver des outils cool que je partage avec vous directement ici ou avec les gens qui me soutiennent via Patreon. Je dois donc vérifier que le projet est sérieux, qu’il est maintenu et qu’on peut faire confiance au code qui s’y trouve.

Seulement voilà, je ne suis pas tout le temps là, avec vous, à regarder les mêmes projets. Alors, comment faire pour évaluer le sérieux d’un projet open source disponible sur Github ?

Et bien grâce à l’outil Scoreboard qui permet d’automatiser l’analyse et faciliter la prise de décision, particulièrement sur l’aspect sécurité des projets Github.

À partir d’une URL de dépôt ou du nom d’un package, Scoreboard contrôle les points suivants :

  • Le projet a-t-il reçu des commits au cours des 90 derniers jours ?
  • Le projet utilise-t-il des outils pour mettre à jour automatiquement ses dépendances ?
  • Le projet est-il exempt de binaires check-in ?
  • Le projet utilise-t-il la protection des branches ?
  • Le projet exécute-t-il des tests dans CI, par exemple GitHub Actions, Prow ?
  • Le projet dispose-t-il d’un badge des meilleures pratiques de l’IIC ?
  • Le projet exige-t-il une revue de code avant que le code ne soit fusionné ?
  • Le projet compte-t-il des contributeurs d’au moins deux organisations différentes ?
  • Le projet utilise-t-il des outils de fuzzing, par exemple OSS-Fuzz ?
  • Le projet déclare-t-il et gèle-t-il les dépendances ?
  • Le projet construit-il et publie-t-il des paquets officiels à partir de CI/CD, par exemple GitHub Publishing ?
  • Le projet utilise-t-il les Pull Requests pour tous les changements de code ?
  • Le projet utilise-t-il des outils d’analyse statique du code, par exemple CodeQL, SonarCloud ?
  • Le projet contient-il une politique de sécurité ?
  • Le projet signe-t-il les versions de manière cryptographique ?
  • Le projet signe-t-il de manière cryptographique les balises des versions ?
  • Le projet déclare-t-il les jetons de workflow GitHub en lecture seule ?
  • Le projet présente-t-il des vulnérabilités non corrigées ?

Pas mal de questions à se poser pour évaluer si le code présent sur Github est suffisamment sûr pour être utilisé dans le cadre de votre projet.

Évidemment, cela ne fait pas tout, mais c’est une bonne étape préliminaire avant d’engager des frais pour faire auditer le code par exemple.

Pour que l’outil Scoreboard fonctionne correctement, vous devrez créer une clé personnelle chez Github, puis l’exporter comme ceci :

export GITHUB_AUTH_TOKEN=<VOTRE_CLÉ>

Lancez ensuite la commande comme ceci pour évaluer un dépôt en particulier (ici le dépôt de youtube-dl pour l’exemple) :

./scorecard --repo https://github.com/ytdl-org/youtube-dl

Après plusieurs secondes, vous obtiendrez alors un rapport de l’état du projet.

Si vous voulez plus de détails, utilisez le paramètre –show-details comme ceci :

./scorecard --repo https://github.com/ytdl-org/youtube-dl --show-details

J’ai testé le dépôt de scoreboard avec scoreboard est le résultat n’est pas loin de la perfection. 😉

Pour plus d’infos, je vous invite à consulter la page du projet ainsi que sa documentation ici.

Github Copilot – L’extension Visual Studio Code qui écrit du code à votre place

1 juillet 2021 à 09:00
Par : Korben

Y’a plusieurs façons de voir la vie… Avec l’angoisse de ce qui arrivera demain, ou avec confiance dans un lâcher prise total.

Et aujourd’hui, j’ai à la fois une bonne ET une mauvaise nouvelle. Bon, vous avez surement suivi les progrès du deep learning, notamment en ce qui concerne la génération de textes avec l’algo GPT-3 d’OpenAI.

Beaucoup de projets se montent autour de ça, et l’un d’entre eux nommé Copilot risque de vous crisper un peu si vous êtes développeur.

Mis au point par Github, cet outil utilisant les algos d’OpenAI, est une extension Visual Studio Code capable d’écrire du code à votre place. C’est comme de l’auto-complétion sauf qu’au lieu de finir vos mots, il va carrément vous écrire des fonctions complètes.

Pour réussir cette prouesse, Copilot a été « entrainé » en absorbant des milliards de lignes de code issues des dépôts publics de Github aussi bien en JavaScript que Python, Ruby, Go, Typescript et j’en passe…

Alors évidemment, Github n’est pas en train de dire que cet outil va mettre au chômage les développeurs… non, non. Pour le moment, c’est effectivement un excellent assistant qui va vous aider à pisser de la ligne 2 fois plus vite.

Copilot est également pratique pour voir différentes approches possible dans l’écriture de votre code, intégrer des tests unitaires sans prise de tête, transformer des commentaires en code, ou encore générer du code répétitif comme ceci :

Plus il bouffera de code, plus il deviendra pertinent et je pense qu’à terme, ce genre d’outil viendra se greffer à des services NoCode qui permettent déjà de créer des applications sans savoir développer.

Cela produira du code qui sera dans la plupart des cas de qualité et optimisé sans avoir besoin de se former au développement et c’est cool.

Mais, effectivement, certains développeurs risquent de se faire « disrupter » comme on dit dans la startup nation ! Toutefois, rassurez-vous, vous avez encore pas mal d’années devant vous avant que votre boss vienne vous voir pour vous annoncer qu’il va vous remplacer par un service NoCode à 12,99 $ par mois.

Donc, pensez-y et formez-vous pour préparer l’avenir.

Pour le moment Copilot est en bêta privée, mais vous pouvez vous inscrire sur la liste d’attente pour tester cette extension en vous rendant sur ce site.

Une extension VS Code pour parcourir, rechercher, éditer et comiter dans n’importe quel dépôt Github distant

28 juin 2021 à 09:00
Par : Korben

Vous le savez, j’adore fureter sur Github à la recherche de petits outils cools à partager avec vous. Seulement, voilà, je les teste… Et pour les tester, je dois les cloner en local avec un petit « git clone ». Et ça commence furieusement à remplir mon disque dur.

Si vous faites ça aussi, j’ai maintenant une excellente astuce pour ouvrir, parcourir et modifier des dépôts git sans avoir à les cloner en local.

Il s’agit d’une extension pour Visual Studio Code (qui est un excellent IDE au passage) baptisé Remote Repositories, qui vous permettra d’explorer le code de n’importe quel dépôt git et éventuellement d’y faire des petites modifications si vous y êtes autorisé.

Cela vous permettra surtout de faire de l’observation et de l’analyse de code sans remplir votre disque dur et sans avoir besoin de maintenir à jour les projets localement et ça, c’est cool.

Pour le faire fonctionner, vous devez autoriser l’extension à se connecter à Github et entrer un token d’accès que vous trouverez ici.

Ensuite, il n’y a plus qu’à indiquer l’URL du git pour voir s’afficher tout le projet. Ici pour l’exemple, j’ai ouvert Youtube-DL pour ceux qui connaissent. Si j’y reviens plus tard, à moins que j’ai fait des modifications, c’est la dernière version qui sera immédiatement affichée.

Grâce à Remote Repositories, vous pourrez également effectuer des recherches dans le dépôt pi dans les pull requests. Après si vous voulez modifier le code, sachez que tout ce que vous ferez comme changement sera conservé de manière totalement indépendante de la branche dans laquelle vous êtes. Ainsi vous pourrez travailler sur plusieurs branches en même temps très facilement.

Et s’il y a des conflits pour une éventuelle fusion, vous en serez informé. Maintenant ce n’est pas non plus la solution miracle, car tout ce qui est débuggage et terminaux n’ont pas accès au code puisque celui-ci est distant. De plus, si vous voulez lancer des recherches en texte dans l’intégralité du code, ça ne sera pas possible, car il faut un index local pour pouvoir lancer ce type de recherche. Vous devrez donc vous contenter de la recherche Github qui ne fouille que les branches.

Et bien sûr si vous avez d’autres extensions, il est fort probable que celles-ci ne prennent pas encore en compte les dépôts distants.

Voilà, c’est donc une extension Visual Studio Code qui a ses limites, mais qui reste bien utile pour tous ceux qui aiment se plonger dans le code des autres et qui en ont marre de tout récupérer en local.

❌