Github va miser sur le crowdsourcing pour renseigner les vulnérabilités

Github va s’appuyer sur les connaissances de la communauté pour mieux informer sur les vulnérabilités. La plateforme ouvre la Github Advisory Database - la plus vaste base de données de dépendances et vulnérabilités dans le monde, selon la société - aux contributeurs externes. Une interface permettra aux spécialistes de partager des informations supplémentaires sur les vulnérabilités (Common Vulnerabilities and Exposures, CVE) qui s’ajouteront à celles fournies par les équipes de Github. «Grâce aux contributions de la communauté, les chercheurs en sécurité, les universitaires et les passionnés seront désormais en mesure de fournir des informations et un contexte supplémentaires afin d'améliorer la compréhension et la sensibilisation de la communauté aux avis de sécurité», explique Kate Catlin, Senior Product Manager chez GitHub.

Les spécialistes externes pourront suggérer des changements et donner davantage de contexte sur les packages, versions affectées et écosystèmes impactés par une vulnérabilité. Les suggestions seront révisées par l’équipe sécurité de Github avant publication et leurs auteurs verront leur contribution apparaître sur leur profil. Les informations documentées par la communauté seront libres de droit (licence Creative Commons) et stockées dans le format OSV (Open Source Vulnerabilities) pour faciliter leur ré-emploi. «Pour que la gestion des vulnérabilités dans l'open source puisse s'étendre, les avis de sécurité doivent être largement accessibles et facilement alimentés par tous et OSV offre cette possibilité, avance Oliver Chang, ingénieur logiciel pour l'équipe de sécurité open source de Google.

L'interface permettant aux contributeurs tiers de soumettre informations utiles et contexte sur les avis de sécurité.