Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Ancres YAML de GitHub Actions : un pas en arrière ?

2025-09-22

GitHub Actions a récemment ajouté la prise en charge des ancres YAML, une modification que l’auteur qualifie de pas en arrière. L’article soutient que les ancres YAML sont redondantes avec les fonctionnalités existantes, augmentent la complexité du modèle de données, rendant le CI/CD plus difficile à comprendre pour les humains et les machines. De plus, le manque de prise en charge des clés de fusion par GitHub rend l’utilisation unique des ancres YAML inefficace. L’auteur estime que cela rend le GitHub Actions plus difficile à analyser pour les vulnérabilités de sécurité et recommande que GitHub supprime immédiatement la prise en charge des ancres YAML.

Lire plus
(blog.yossarian.net)
Développement

Optimisation de l'analyse statique de GitHub Actions avec les transducteurs d'état fini

2025-08-18

Le développeur de l'outil d'analyse statique zizmor a optimisé sa détection des vulnérabilités d'injection de modèles de GitHub Actions en utilisant des transducteurs d'état fini (FST). En mappant les motifs de contexte de GitHub Actions à leur « capacité » logique, les FST ont réduit la taille de la représentation d'un ordre de grandeur (de ~240 Ko à ~14,5 Ko) et se sont avérés plus rapides et plus efficaces en termes de mémoire que les approches précédentes basées sur des tables et des parcours d'arbres de préfixes. De plus, le FST est précalculé au moment de la compilation, éliminant les coûts de démarrage. Cette amélioration réduit considérablement les faux positifs et augmente l'efficacité de la détection.

Lire plus
(blog.yossarian.net)
Développement transducteur d'état fini

Contournement de la politique GitHub Actions : une manière triviale de contourner des politiques apparemment sécurisées

2025-06-11

GitHub Actions fournit un mécanisme de politique pour restreindre les actions et les workflows réutilisables utilisables dans un référentiel, une organisation ou une entreprise. Cependant, ce mécanisme est facilement contournable. En clonant le référentiel d’action dans le système de fichiers de l’agent, puis en utilisant une référence de chemin local pour exécuter la même action, la politique est trivialement contournée. Cela rend la politique apparemment sécurisée inefficace. L’auteur exhorte GitHub à résoudre cette vulnérabilité afin d’empêcher les développeurs de croire à tort que les politiques fournissent une limite de sécurité qui n’existe pas.

Lire plus
(blog.yossarian.net)
Développement Contournement de politique

L'effet Makefile : Pourquoi copier-coller des fichiers de configuration ?

2025-01-11

Cet article explore l'effet « Makefile », un phénomène courant en ingénierie logicielle : les ingénieurs ont tendance à copier-coller et à modifier des fichiers de configuration existants (comme des Makefiles, des configurations CI/CD, etc.) plutôt que de les écrire de zéro. L’auteur soutient que ce n’est pas intrinsèquement mauvais, mais suggère que cela indique que les outils sont peut-être trop complexes, manquant de diagnostics et de support de débogage adéquats, ce qui les rend inefficaces et peu sûrs. L’article se conclut par des recommandations de conception visant à minimiser cet effet, améliorant ainsi l’efficacité et la sécurité du développement.

Lire plus
(blog.yossarian.net)
Développement conception d'outils