GitHub annonce la disponibilité de la prise en charge des paquets Python. À partir de cette semaine, les utilisateurs de Python peuvent accéder au graphique des dépendances et recevoir des alertes de sécurité lorsque leurs dépôts dépendent de paquets présentant des failles de sécurité connues.

Cette nouvelle offre est lancée sur la base de vulnérabilités récentes. Néanmoins, au cours des semaines à venir, la base de données sera mise à jour d’autres vulnérabilités Python plus anciennes, et également alimentée de nouvelles vulnérabilités, publiées dans les paquets Python.

Utilisation des alertes de sécurité Python, mode d’emploi :

• Valider un fichier requirements.txt ou Pipfile.lock à l’intérieur des dépôts contenant un code Python.
• Dans les dépôts publics, le graphique de dépendance et les alertes de sécurité seront automatiquement activés.
  • Concernant les dépôts privés : la demande d’alertes de sécurité devra être validée (opt-in) dans les paramètres du dépôt ou alors, l’accès autorisé  dans la section « graphique des dépendances » de l’onglet « Insights ».

Une fois cette fonction activée, les administrateurs recevront des alertes de sécurité par défaut. Il est également possible d’ajouter des équipes ou des individus en tant que destinataires des alertes de sécurité en se rendant à la page « Settings », onglet « Alerts », de leur référentiel.

Pour configurer le type ou la fréquence des notifications, l’utilisateur doit se rendre sur la page des paramètres de notification de son profil et sélectionner l’option de son choix.

Pour en savoir plus: https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/