Sashkin - stock.adobe.com

Les mises à jour de sécurité de GitHub et l’expansion de Copilot font des vagues

Les développeurs peuvent désormais contribuer à renforcer la sécurité de GitHub en signalant les vulnérabilités par l’intermédiaire de canaux privés, tandis que les améliorations proposées pour Copilot dans le cadre d’un litige sur les droits d’auteur ont posé question lors du GitHub Universe.

Encore aujourd’hui, les responsables des logiciels libres sur GitHub reçoivent les rapports de sécurité via divers canaux publics tels que Twitter. Cela signifie que les acteurs malveillants ont la possibilité d’exploiter les problèmes avant que les mainteneurs ne puissent appliquer un correctif. A contrario, les rapports privés cachent les vulnérabilités aux yeux du public, ce qui pourrait empêcher les attaques de type « zero-day », qui ciblent les failles dès qu’elles sont rendues publiques.

Le signalement privé des vulnérabilités, lancé en version bêta ouverte la semaine dernière, permet aux responsables d’opter pour un canal de communication privé à partir duquel les utilisateurs de GitHub peuvent divulguer les problèmes de sécurité et collaborer avec eux pour les résoudre, informe Justin Hutchings, directeur de la gestion des produits chez GitHub.

GitHub est le plus grand émetteur indépendant de vulnérabilités et d’expositions communes (CVE). C’est parce qu’il héberge une grande partie des projets open source sur sa plateforme. Cependant, il existe une forte demande pour simplifier la mise en relation des chercheurs et des mainteneurs, d’après Justing Hutchings.

Cette forme de communication concernant de potentielles failles est une bonne idée, à condition que la communauté GitHub l’utilise, souligne un expert du secteur.

« Il y a tout de même un défi : encourager ceux qui signalent les vulnérabilités à utiliser des canaux secrets. »
Larry CarvalhoConsultant principal chez Robust Cloud

« Tout outil qui réduit le risque de sécurité des applications accélère l’innovation », avance Larry Carvalho, consultant principal chez Robust Cloud. « Le signalement privé des vulnérabilités permettra aux bons acteurs d’avoir une longueur d’avance sur les mauvais et de réduire le risque pour la communauté. Il y a tout de même un défi : encourager ceux qui signalent les vulnérabilités à utiliser des canaux secrets ».

Un système qui récompense monétairement ce comportement pourrait accélérer le processus d’adoption, ajoute Larry Carvalho. HackerOne, qui crée et gère des programmes de bug bounty, est une option que GitHub devrait envisager pour inciter la participation, selon lui.

GitHub ne prévoit pas d’incitation financière pour le signalement privé des vulnérabilités, selon un porte-parole de GitHub, mais la société travaille avec les membres des communautés du logiciel libre et de la recherche en sécurité pour recueillir des commentaires sur ce sujet et d’autres au fur et à mesure du déploiement de la plateforme.

Les plans d’expansion de GitHub Copilot font l’objet d’une contestation judiciaire

Parmi les autres nouveautés de GitHub Universe, citons la présentation d’une distribution commerciale de Copilot dotée de contrôles d’administration.

Cependant, les experts de l’industrie et du droit ont averti que la réponse de l’entreprise à un recours collectif devant un tribunal américain, alléguant une violation du droit d’auteur de Copilot, pourrait affecter cette feuille de route.

« Copilot pour les entreprises est un bon pas en avant, mais les grandes entreprises doivent s’assurer que les poursuites pour violation du droit d’auteur ne les affectent pas », avance Larry Carvalho. « Une option serait de s’assurer que les accords avec GitHub ou [la société mère] Microsoft donne aux clients une indemnité contre les poursuites judiciaires ».

Un porte-parole de GitHub a déclaré que l’entreprise continuera à développer Copilot de manière responsable, mais a refusé de dire si elle offrira une indemnité aux entreprises clientes.

Cela n’a aucun sens pour GitHub ou Microsoft de s’impliquer dans l’indemnisation à ce stade, selon l’avocat Aron Solomon, chef de la stratégie et analyste juridique en chef chez Esquire Digital. Cependant, les développeurs professionnels élargiront le profil de risque d’une entreprise s’ils fournissent sciemment un logiciel qui peut ne pas être entièrement conforme à la loi sur la propriété intellectuelle, signale-t-il.

Selon Aron Solomon, une affaire de 2016 pourrait apporter un éclairage sur le procès GitHub Copilot. Dans cette affaire, le créateur du guide d’étude DynaStudy Inc. à Marble Falls, au Texas, a poursuivi le Houston Independent School District après qu’un groupe d’employés du district scolaire a redistribué des copies non autorisées d’un guide d’étude, avec des avertissements et des logos de droits d’auteur recadrés ou couverts. Un jury fédéral a estimé en 2019 que les employés avaient violé la loi sur la propriété intellectuelle et a condamné le district scolaire à payer 9,2 millions de dollars de dommages et intérêts.

Une tribune sur la décision, attribuée à l’avocate Krista L. Cox, remarque que la cécité volontaire au droit d’auteur – par exemple, lorsque les employés savent que les ressources qu’ils distribuent sont soumises à un copyright – ne passe pas bien dans les affaires de droit d’auteur.

Selon Aron Solomon, cette affaire a également des répercussions sur l’utilisation par les entreprises de codes protégés par le droit d’auteur.

« Les grandes entreprises aux comptes bien remplis vont parfois faire du bon travail en respectant les règles de la propriété intellectuelle », affirme Aron Solomon. « Et à d’autres moments, elles vont faire un travail épouvantable et être poursuivies en justice pour un montant bien supérieur à ce que la licence leur aurait coûté ».

Bien qu’une date de sortie n’ait pas été fixée, les entreprises intéressées par les mises à jour commerciales de GitHub Copilot peuvent s’inscrire sur la liste d’attente.

Hey, GitHub ! ou comment GitHub se met au « voice-to-code »

Lors d’Universe, GitHub a par ailleurs présenté Hey, GitHub !, un outil pour coder à la voix.

Hey, GitHub ! reconnaît pour l’instant des instructions vocales en anglais. Le système de speech to text passe la main à Copilot pour rédiger des lignes de commande simples, afin de naviguer dans le code, expliquer des portions de code ou exécuter un programme.

GitHub prévoit que les futures itérations de l’outil expérimental Hey, GitHub ! donneront aux développeurs qui apprennent encore à coder une interface alternative ne nécessitant pas de comprendre tous les détails de la syntaxe du code.

Hey, GitHub ! pourrait être adopté si les développeurs constatent une accélération de l’écriture du code par le biais de commandes vocales, mais il pourrait être lent à gagner de l’ampleur, anticipe Larry Carvalho.

« Même si la plus-value est assurée, je ne pense pas que l’adoption à grande échelle se produise à court terme, c’est-à-dire dans un ou deux ans », poursuit-il. « Cependant, il peut y avoir de la valeur pour les développeurs handicapés ». GitHub a également une liste d’attente pour Hey, GitHub ! sur son site Web.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)