Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Contournement de la politique GitHub Actions : une manière triviale de contourner des politiques apparemment sécurisées

2025-06-11

GitHub Actions fournit un mécanisme de politique pour restreindre les actions et les workflows réutilisables utilisables dans un référentiel, une organisation ou une entreprise. Cependant, ce mécanisme est facilement contournable. En clonant le référentiel d’action dans le système de fichiers de l’agent, puis en utilisant une référence de chemin local pour exécuter la même action, la politique est trivialement contournée. Cela rend la politique apparemment sécurisée inefficace. L’auteur exhorte GitHub à résoudre cette vulnérabilité afin d’empêcher les développeurs de croire à tort que les politiques fournissent une limite de sécurité qui n’existe pas.

Lire plus
(blog.yossarian.net)
Développement Contournement de politique

L'effet Makefile : Pourquoi copier-coller des fichiers de configuration ?

2025-01-11

Cet article explore l'effet « Makefile », un phénomène courant en ingénierie logicielle : les ingénieurs ont tendance à copier-coller et à modifier des fichiers de configuration existants (comme des Makefiles, des configurations CI/CD, etc.) plutôt que de les écrire de zéro. L’auteur soutient que ce n’est pas intrinsèquement mauvais, mais suggère que cela indique que les outils sont peut-être trop complexes, manquant de diagnostics et de support de débogage adéquats, ce qui les rend inefficaces et peu sûrs. L’article se conclut par des recommandations de conception visant à minimiser cet effet, améliorant ainsi l’efficacité et la sécurité du développement.

Lire plus
(blog.yossarian.net)
Développement conception d'outils