Les API publiques de GitHub détournées pour cartographier les logiciels d'entreprise

Les API publiques de GitHub ont été détournées pour cartographier les logiciels d’entreprise, mettant en lumière des vulnérabilités de sécurité. GitHub, plateforme centrale du développement logiciel, est une cible privilégiée pour les attaquants en raison de son rôle clé dans le cycle de vie des applications.

En 2023, l’OWASP a identifié dix principaux risques pour la sécurité des API, dont la violation d’authentification et l’autorisation défaillante au niveau des propriétés d’objet. Ces vulnérabilités exposent les systèmes à des attaques potentielles, compromettant la protection des données sensibles. (akamai.com)

GitHub a mis en place des mes pour renforcer la sécurité, notamment en introduisant des API REST pour gérer les avis de sécurité des dépôts et accéder à la base de données des vulnérabilités. Ces initiatives visent à fournir aux développeurs des outils pour identifier et remédier aux failles de sécurité. (docs.github.com)

Malgré ces efforts, des études ont révélé que des outils d’IA générant du code, tels que GitHub Copilot, peuvent introduire des vulnérabilités de sécurité dans les projets open source. Une analyse a identifié que 29,5 % des extraits de code Python et 24,2 % des extraits JavaScript générés présentaient des faiblesses de sécurité, couvrant 43 catégories de la Common Weakness Enumeration (CWE). (arxiv.org)

Ces découvertes soulignent l’importance d’une vigilance continue et de pratiques de développement sécurisées pour protéger les logiciels d’entreprise contre les menaces potentielles.

(akamai.com)

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *