GitHub sécurise les développements en rachetant Dependabot

L'outil Dependabot, déjà utilisé sur GitHub pour mettre à jour les fichiers de dépendance, vient d'être racheté par la plateforme de partage de code. Dans les prochains mois, les alertes de sécurité vont être déployées avec actualisation automatique des fichiers.

La plateforme d’hébergement de code GitHub, rachetée par Microsoft il y a tout juste un an, poursuit ses évolutions. Elle vient de compléter sa panoplie d’outils destinés aux développeurs avec le rachat de Dependabot. Cette application, qui était déjà utilisée avec sa plateforme, automatise la mise à jour des fichiers de dépendance. L’outil recherche les composantes non sécurisées d’un projet et lorsqu’il en trouve ouvre les pull requests (demandes d’ajout de code) pour les actualiser. « Avec l’aide de Dependabot, GitHub va monitorer vos dépendances pour les vulnérabilités de sécurité connues et ouvrir automatiquement les pull requests pour les mettre à jour vers la version minimum requise », explique GitHub dans un billet. « Dans les prochains mois, nous allons déployer les pull requests automatisés vers tous les comptes en activant les alertes de sécurité ».

Pendant l’intégration de l’outil à la plateforme d’hébergement, il est toujours possible d’installer Dependabot depuis la marketplace GitHub, précise l’équipe qui le développe en qualifiant son rachat par GitHub de rêve qui s’est réalisé. « Nous avons doublé la taille de l’équipe Dependabot et nous espérons de nombreuses améliorations importantes dans les mois qui viennent », expliquent-ils. Il sera bientôt possible de configurer l’outil au sein de GitHub sans passer par le tableau de bord de Dependabot. « L’actuelle app Dependabot a été renommée Dependabot Preview, elle restera disponible sur GitHub Marketplace, entièrement supportée et désormais gratuite, pendant que nous intégrons ses fonctionnalités directement dans GitHub ». Les utilisateurs qui ont payé d’avance son utilisation pour plusieurs mois seront remboursés.

GitHub Sponsors prévoit la rémunération des développeurs

Depuis son rachat par Microsoft, GitHub a fait de nombreuses annonces. La dernière en date, la semaine dernière, le programme Sponsors prévoit qu'une communauté de développeurs puisse supporter financièrement les personnes qui conçoivent, bâtissent et maintiennent les projets open source dont ils dépendent, directement sur la plateforme de partage de code. Toute personne ayant un compte GitHub pourra devenir le sponsor d’un développeur à travers un paiement mensuel. Le programme est actuellement en phase bêta et sujet à des modifications. Pour l'instant, seul un petit nombre de développeurs sponsorisés participent à la bêta en mode limité.