Superbe démonstration pas à pas d'utilisation de la data science au travers d'une suite de suppositions pour détecter les faux comptes Github.

Par exemple, en analysant les comptes qui agissent les même jours on a plus de chance de détecter des comptes instrumentés par des scripts.

Ça devait arrivé, Copilot propose parfois en suggestion du code sous licence.

Ici un développeur s'en est rendu compte et Microsoft est attaqué en justic pour non respect des licences.

Analyse d'une attaque qui vise les ressources gratuites de différents provider pour miner des Monero.

A ce jour les chercheurs ont détecté 30 comptes Github, 2000 comptes Heroku et 900 comptes Buddy impliqués.

Le service de scan de vulnérabilité et de qualité de code LGTM s'arrête le 16 décembre 2022.

Ils se sont fait intégré aux équipes de Github depuis 3 ans et leur moteur d'analyse de code est maintenant intégré complètement à Github: CodeQL

Pour l'utiliser, il faut mettre en place cette Github Action

Un super outil pour analyser les statistiques en provenance de Github!

Statistiques développeurs, repositories, etc

Un outil pour release automatiquement et gérer les releases Github via des labels sur les Pull Requests.

L'outil est très complet et supporte tout pleins de choses:

• releases canary (test) ou next (release candidate en plus des releases normales
• création des labels sur les repo
• support des anciennes versions majeures

Un bot qui s'occupe d'ouvrir des PRs pour mettre à jour les dépendances des projets. (Directement disponible sur Github)

Lorsqu'elles ne sont pas mises à jour, les dépendances font croître la dette technique.

Cela pose de potentiels problèmes de sécurité avec des failles non patché mais ça rend aussi plus complexe les mises à jour ultérieurs.

Les suites du hack de Github via le OAuth de Heroku: NPM a aussi été touché.

Une raison de plus pour éviter d'utiliser OAuth entre tous vos sites, plus vous l'utilisez et plus vous êtes vulnérable.

Perso j'utilise très rarement celle de Github et fait régulièrement le ménage mais je n'utilise jamais celle de Google par exemple.

Il est maintenant possible d'ajouter une description markdown pour chaque action.

Cette description est ensuite visible dans le résumé d'une action dans l'interface Web.
C'est parfait pour indiquer le status de ses actions par exemple !