Selon des chercheurs de GitHub, il serait nécessaire d’être plus vigilant lors de la publication de codes sur la plateforme, afin de réduire le temps de découverte des vulnérabilités.
Une question bête, normalement avec l’intégration continue, on peut faire des tests de mais il est aussi possible de faire des contrôles de sécurité non ?
Quand tu ecris un test pour ton code, tu connais le code, le test est essentiellement pour s’assurer que les modifications ultérieures du code ne risquent pas d’impacter son fonctionnement initial.
Une faille de sécurité c’est généralement un chemin détourné, qui donc n’est pas testé par les tests initaux. Sinon, la faille serait révélée et patchée immédiatement, et le test deviendrait inutile.
Une faille de sécurité se trouve par analyse logique du code et par « mauvaise manipulation » intentionnelle (la plupart du temps).