L’Open Source Security Foundation (OpenSSF) a annoncé mercredi la disponibilité d’une nouvelle application GitHub qui peut être utilisée pour appliquer automatiquement et en continu les meilleures pratiques de sécurité pour les projets GitHub.

La nouvelle application, nommée Allstar, a été développée par Google et publiée via OpenSSF, dont le géant de la technologie est un membre fondateur. Allstar est un compagnon de Security Scorecards, un outil automatisé d’évaluation des risques pour les référentiels et leurs dépendances qui a également été fourni par Google.

Allstart vérifie en permanence les états de l’API GitHub et le contenu des fichiers par rapport aux politiques de sécurité définies. S’ils ne correspondent pas, l’application applique des actions d’application définies par l’utilisateur.

« Security Scorecards vérifie un certain nombre d’heuristiques importantes (actuellement 18), par exemple si le projet utilise la protection des branches, signe cryptographiquement les artefacts de version ou nécessite une révision du code. À partir de ces scores, les utilisateurs peuvent comprendre les domaines spécifiques à améliorer afin de renforcer la posture de sécurité de leur projet », ont expliqué Mike Maraya et Jeff Mendoza de Google.

Ils ont ajouté : « À partir de là, Allstar passe à l’étape suivante et permet aux responsables de la maintenance d’opter pour l’application automatisée de contrôles spécifiques. Si votre référentiel échoue à une vérification particulière que vous activez, Allstar intervient pour apporter les modifications nécessaires pour résoudre le problème, évitant ainsi l’effort supplémentaire de corrections manuelles régulières.

Actuellement, les applications de la politique de sécurité d’Allstar incluent la protection des succursales, la vérification de la présence d’un fichier de politique de sécurité (security.md) pour la divulgation des vulnérabilités, la garantie que les utilisateurs disposant de privilèges d’administrateur appartiennent à l’organisation propriétaire et la détection des artefacts binaires dans un référentiel.

Les actions d’application qui peuvent actuellement être définies par les utilisateurs incluent l’ouverture d’un problème GitHub, l’annulation des paramètres de stratégie modifiés et l’enregistrement d’un échec sans prendre d’action supplémentaire.

Plus de politiques et…