• Le GitHub Secure Open Source Fund mobilise une nouvelle enveloppe de 5,5 millions de dollars, constituée de crédits et de financements Azure. Ces ressources visent à renforcer l'accompagnement des responsables de projets via des formations et de l'expertise technique, tout en dynamisant la communauté pour garantir des résultats concrets. Le fonds s'entoure également de nouveaux partenaires de poids, tels que Datadog, Open WebUI, l'Atlantic Council et l'OWASP.
• Le GitHub Security Lab investit pour améliorer deux fonctionnalités clés : l'expérience des avis de sécurité sur GitHub et les reporting de signalement privé (PVR). L'objectif est d’alléger la charge de travail des développeurs en diminuant la génération de  rapports de faible qualité, ce qui devrait leur  permettre de traiter plus efficacement des rapports de vulnérabilité en augmentation constante. 

280 000 mainteneurs auront accès gratuitement à Copilot Pro et les fonctions de sécurté. C'est très bien mais l'enjeu va bien au-delà. La sécurité ne s'improvise pas. Ce n'est pas Copilot seul qui va pouvoir sécuriser et traquer les vulnérabilités et les réduire. Il s'agit d'une ambition commune. Il est dommage que GitHub met surtout en avant l'IA et Copilot pour aider les mainteneurs. Oui, c'est une aide mais cela ne va tout résoudre.

Le chantier est colossal. La difficulté est de s'occuper à la fois des projets Open Source, de mieux sensibilier les développeurs et s'occuper réellement aux attaques contre la supply chain qui fragilisent nos environnements de développement. La fondation Python a lancé une vaste chantier il y a quelques semaines pour tenter de fixer les failles de PyPi.