Github

Selon des chercheurs de GitHub, il serait nécessaire d'être plus vigilant lors de la publication de codes sur la plateforme, afin de réduire le temps de découverte des vulnérabilités.

Racheté par Microsoft en juin 2018, la plateforme de GitHub constitue aujourd'hui le plus grand répertoire de développement open source. Dans un rapport annuel, l'équipe fait le point de 2020 et revient sur les enjeux de la sécurité.

GitHub, toujours en pleine croissance.

Entre octobre 2019 et septembre 2020, GitHub a accueilli de nouveaux utilisateurs, comptant aujourd'hui plus de 56 millions de développeurs. Au fil des années, GitHub a acquis une réputation de qualité, à tel point que 72 % des société classées dans le Fortune 50 utilisent GitHub Enterprise.

Sur cette période de douze mois, plus de 60 millions de nouveaux répertoires ont été créés. Au total, 1,9 milliard de contributions ont été comptabilisées. Les développeurs localisés aux États-Unis, en Asie et en Europe sont ceux qui contribuent le plus à la plateforme avec respectivement des taux d'utilisation de 34 %, 30 % et 27 %.

Par ailleurs, la crise sanitaire a rendu cette année 2020 un peu particulière. GitHub explique en effet avoir observé un pic d'activité durant le confinement mis en place dans la plupart des pays du globe entre mars et avril dernier.

La sécurité, un enjeux crucial

Revenant sur la sécurité des données, Github explique qu'il est aujourd'hui bien difficile de trouver un scénario dans lequel nos données ne transitent pas à travers au moins un composant open source. Cela inclut les systèmes bancaires ou les services de santé. Pour les chercheurs, il devient donc primordial de s'assurer de la sécurité de ces code en libre accès.

Et pour cause, dans les faits, il se passerait en moyenne quatre années entre la publication d'une portion de code vulnérable et sa découverte par la communauté impliquée sur le projet.

Dans 17 % des cas, la vulnérabilité est spécifiquement conçue dans un but malveillant, et afin d'être exploitée. Le reste du temps, les failles identifiées au sein des projets sur GitHub sont le fruits d'erreurs commises dans le code source.

Une fois la brèche repérée, il faut généralement à peine plus d'un mois (4,4 semaines) à la communauté pour déployer un correctif. À cela s'ajoutent 10 semaines, le temps moyen pour alerter la communauté quant à la disponibilité d'une mise à jour de sécurité. Cette dernière est toutefois appliquée très vite, en une semaine généralement.

Pour finir, soulignons que parmi les technologies open source les plus utilisées sur GitHub, on compte JavaScript (94%), Ruby (90,2%) mais également le framework .NET (89,8%).

Source : ZDnet US, GitHub