GitHub, la plateforme de développement de logiciels libres a ouvert officiellement, le 14 novembre, son laboratoire en sécurité informatique, le GitHub Security Lab. Ce laboratoire s’est donné pour mission de sécuriser les logiciels en open source du monde entier, car « la sécurité des logiciels libres est importante pour tous » explique l’entreprise dans un communiqué.

Rachetée en 2018 par Microsoft pour 7,5 milliards de dollars, GitHub est l’une des principales plateformes de développement. Elle est utilisée par plus de 40 millions de développeurs à travers le monde et sert à stocker 100 millions de dépôts de code.

Rendre accessible des outils, des ressources et des heures de recherches pour sécuriser les logiciels en open source

Le laboratoire lui-même est composé de 7 chercheurs qui travaillent à plein temps sur les failles de code en open source. Depuis le 14 novembre, ils ont d’ores et déjà découvert 105 CVE. Le CVE ou Common Vulnerabilities and Exposures est un dictionnaire en libre accès qui recense les failles informatiques. Il permet d’en informer les autres experts en sécurité.

Dans son communiqué l’entreprise fait remarquer que 40% des nouvelles vulnérabilités ne sont pas signalées sur CVE et que 70% des vulnérabilités ne sont pas corrigées 30 jours après avoir été signalées aux développeurs.

En plus de mobiliser ses propres experts GitHub a annoncé rendre accessible gratuitement CodeQL, un outil qui permet d’explorer rapidement un code et de repérer les vulnérabilités. CodeQL est très utilisé par les experts de la sécurité informatique. Il a été développé par l’entreprise Semmle que GitHub a rachetée mi-septembre.

Autre outil rendu accessible GitHub Advisory Database, qui vient d’être lancé et dont l’objectif est justement de recenser publiquement toutes les vulnérabilités connues de GitHub, avec des avis de sécurité. Le but est de mieux centraliser les failles repérées sur les logiciels en open source.

Les équipes de GitHub ambitionnent de ne pas seulement repérer les failles, mais aussi d’alerter, de combler et de prévenir ces dernières. Pour mener ce travail à bien, l’entreprise fait appeler à la communauté de développeurs et chercheurs en sécurité.

Graphique sur la sécurisation des logiciels

Crédit : GitHub

La base collaborative de l’initiative est mise en avant, le but du GitHub Security Lab est « d’inspirer la communauté mondiale de la recherche en sécurité ». L’entreprise note l’ampleur de la tâche auquel elle a assigné à ses équipes, « L’écosystème JavaScript compte à lui seul des millions de paquets open source ».

Une initiative qui met le collectif au centre

GitHub souligne qu’il existe un expert en sécurité pour 500 développeurs, de plus ces derniers sont dispersés au sein de différentes sociétés. Pour surmonter ces difficultés, le GitHub Security Lab va organiser des événements pour faire se rencontrer et échanger les acteurs du secteur.

L’éditeur a également associé à son initiative plusieurs experts d’une quinzaine d’entreprises et pas des moindres, la banque JP Morgan, Microsoft, Linkedin, Uber, Google, Mozilla… L’ambition de GitGub semble de vouloir se placer en numéro un de la sécurité des logiciels en open source.