Les outils pour la sécurité de la supply chain logicielle de Github s’enrichissent
Les fonctionnalités de sécurisation de la supply chain logicielle de la plateforme Github s’enrichissent en intégrant un nouveau langage de programmation. Il s'agit de Dart, au cœur du framework de développement d’apps mobile Flutter.
La sécurisation de la supply chain logicielle est l'un des défis majeurs pour la cybersécurité des entreprises. Spécialement à l'heure où les applicatifs regorgent de dépendances open source, autant de projets pouvant cacher des bouts de codes vulnérables et parfois seulement maintenus par une poignée de développeurs bénévoles. D’où les appels à l’aide de la communauté aux géants de la tech, qui eux aussi se servent allègrement de composants open source dans leurs produits.
Ces derniers mois, Google et Microsoft ont renforcé leur engagement en faveur de la sécurité de la supply chain logicielle. Notamment via l'initiative Alpha-Omega Project. Mais aussi, tout récemment, en collaborant pour intégrer le langage de programmation Dart au sein des fonctionnalités de Supply Chain Security de la plateforme de développement Github (rappelons-le, priorité de Microsoft). Les équipes de Google ont contribué à cet effort car Dart est le langage maison au cœur de Flutter, l’un des frameworks de développement d’apps mobiles pour iOS et Android les plus populaires (dans le top 5 pour les deux environnements selon les données d’Appfigures). Dévoilé en 2018, Flutter présente surtout l’avantage d’être cross-plateformes, à l’instar de Cordova, Ionic et React Native.
Prise en charge de la sécurité pour les applications Dart et Flutter
Les fonctionnalités de Supply Chain Security de la plateforme de développement Github comprenant l’Advisory Database, le Dependency Graph (un graphe de dépendances annoncé en 2017) et le Dependabot. Au fil des années, ces fonctionnalités ont petit-à-petit pris en charge les principaux langages de programmation. Dart est donc le dernier venu. «Cela signifie que GitHub offre désormais une prise en charge complète de la sécurité de la chaîne logistique pour les applications Dart et Flutter», résume dans un billet de blog Michael Thomsen, chef de produit chez Google.
Identification des failles et applications des patchs à l'aide d’un bot
Michael Thomsen explique que grâce au Dependabot reposant sur le graphe des dépendances, les développeurs sont non seulement avertis quand une vulnérabilité est identifiée dans l’un des paquets open source intégrés à leurs applications. Mais le bot soumet également au nom du développeur une demande de mise à jour vers la dernière version du paquet. Quant à l’Advisory Database, il s’agit d’une base de données ouvertes d'avis de sécurité qui répertorie les vulnérabilités connues dans les paquets des langages supportés.
«Avec l'arrivée de Dart dans notre écosystème de sécurité de la chaîne d'approvisionnement, GitHub étend son soutien à un segment de la communauté open source en pleine croissance», a déclaré de son côté Courtney Claessens, chef de produit senior pour GitHub.