Discussion :

[Patrick Ruiz]

GitHub impose aux développeurs de se connecter à un compte pour pouvoir rechercher et naviguer dans du code
Ce qui suscite la colère de certains qui crient à l’abus envers le mouvement open source

Que GitHub demande aux développeurs de se connecter à un compte pour pouvoir rechercher et naviguer dans du code n’a rien de nouveau. L’exigence était déjà en vigueur sur la plateforme avant le mois de juin dernier au cours duquel les responsables de la plateforme ont fait une mise à jour en indiquant que « l’accès à toutes les fonctionnalités de l’outil de recherche de code et de navigation est conditionné par la création ou la connexion à un compte github.com. » Ce sont plutôt les récentes réactions à cette mesure et la controverse autour qui apportent un coup de neuf. En effet, certains utilisateurs crient à une prise en otage de la filière open source.

Les inconvénients de la décision de GitHub transparaissent dans une plainte d’un utilisateur de la plateforme

« C'est révoltant et anathème pour le mouvement open source. Un mouvement dont Microsoft abuse d'ailleurs. On nous dit que c'est pour des raisons de sécurité. Mais quel intérêt y a-t-il quand je peux simplement cloner le dépôt et utiliser des outils plus spécialisés pour une recherche et une analyse correctes ?

Quel est donc la raison de cette mesure ? N'avez-vous PAS assez de nos données ? Vous ressentez maintenant le besoin de suivre les lignes de code individuelles que je consulte ? J'étais sur une vieille machine et j'avais besoin de chercher quelque chose dans NOTRE PROPRE DEPOT et je n'y arrivais pas. En fait, je veux que les gens puissent faire des recherches dans notre base de code.

J'ai donc plutôt essayé de me connecter mais je n'avais pas mon gestionnaire de mots de passe à portée de main. J'ai donc dû prendre mon téléphone avant de me rendre compte que je me heurtais au mur de l’authentification à deux facteurs. Je suis donc retourné à mon bureau pour prendre ma clé Yubi. Je me suis ensuite retrouvé coincé, l'ancien ordinateur portable n'ayant pas de ports USB-C.

Non seulement ce changement n'est pas nécessaire, mais il est carrément hostile envers vos propres clients. Ambitieusement hostile ! De toute évidence, nous sommes allés trop loin dans nos liens avec l'écosystème de Github pour pouvoir changer facilement de fournisseur et passer à un autre qui donne ne serait-ce qu'un prétexte à la protection de la vie privée des utilisateurs ou à la réactivité. Bravo donc pour cela.

C'est la goutte d'eau qui fait déborder le vase. Je ne créerai plus de nouveaux projets sur GitHub. Je veux qu'ils soient utiles au public. Tous ceux qui lisent ceci doivent se rendre compte d'une chose : chaque fois que vous créez quelque chose de nouveau sur GitHub, le public ne pourra rechercher votre code qu'après avoir ployé le genou devant Microsoft.

S'il vous plaît, mainteneurs de GItHub ! Ignorez les chacals du marketing et les cadres intermédiaires. Défendez-vous ! Ce tableau est indéfendable d'un point de vue éthique et cet état de choses doit être aboli », se plaint un utilisateur de la plateforme.

Les responsables de GitHub justifient cette décision par la nécessité de sécuriser la plateforme

« Il s'agit principalement de s'assurer que nous pouvons supporter la charge des développeurs sur GitHub et aider à protéger les serveurs d'être submergés par des requêtes anonymes de bots, etc. », a indiqué un responsable de la plateforme.

Les résultats d’une récente enquête publiée par la firme de sécurité GitGuardian sont susceptibles de confirmer que la décision de GitHub revêt certains avantages d’un point de vue pour les développeurs et les infrastructures dont ils ont la charge. En effet, en dépit d’une décennie de rappels, d’incitations et de harcèlements, un nombre surprenant de développeurs ne parviennent toujours pas à débarrasser leur code des informations sensibles qui donnent les clés de leur royaume à quiconque prend le temps de les chercher.
De nombreuses de ces tares sont le fait de très grandes entreprises qui disposent d'équipes de sécurité en principe solides. Ces lacunes découlent de mauvaises pratiques de codage dans lesquelles les développeurs intègrent des clés cryptographiques, des jetons de sécurité, des mots de passe et d'autres formes d'informations d'identification directement dans le code source.

Les chercheurs de cette société de sécurité ont annoncé avoir trouvé près de 4000 de ces informations en principe secrètes dans un total de 450 000 projets soumis à PyPI, le dépôt de code officiel pour le langage de programmation Python. Près de 3000 projets contenaient au moins un secret unique. De nombreux secrets ont été divulgués plus d'une fois, ce qui porte le nombre total de secrets exposés à près de 57 000.

Les informations exposées permettaient d'accéder à toute une série de ressources, notamment les serveurs Microsoft Active Directory qui fournissent et gèrent les comptes dans les réseaux d'entreprise, les serveurs OAuth permettant l'authentification unique, les serveurs SSH et les services tiers pour les communications avec les clients et les crypto-monnaies. Quelques exemples :

1. clés API Azure Active Directory ;
2. clés d'application OAuth de GitHub
3. identifiants de base de données pour des fournisseurs tels que MongoDB, MySQL et PostgreSQL ;
4. clé Dropbox ;
5. clés Auth0 ;
6. informations d'identification SSH ;
7. informations d'identification Coinbase
8. informations d'identification principales de Twilio.

Les clés d'API permettant d'interagir avec divers services Google Cloud, les identifiants de bases de données et les jetons contrôlant les robots Telegram, qui automatisent les processus sur le service de messagerie, font également partie du lot. Le récent rapport indique que les expositions dans ces trois catégories ont régulièrement augmenté au cours de l'année ou des deux dernières années. Les secrets ont été exposés dans différents types de fichiers publiés sur PyPI. Il s'agit notamment de fichiers .py primaires, de fichiers README et de dossiers de test.

La même firme de sécurité confirme qu’un grand nombre de bases de codes présentes sur GitHub affichent les mêmes tares. C’est la raison pour laquelle la plateforme a procédé à l’introduction de « push protection » au deuxième trimestre de l’année précédente. L’objectif : empêcher la fuite d’informations sensibles depuis les comptes des développeurs qui ne les ont pas sécurisées en adoptant de bonnes pratiques de codage. L’exigence de la connexion à un compte afin de pouvoir rechercher et naviguer dans du code apparaît ainsi comme une mesure complémentaire.

Source : forum GitHub

Et vous ?

Décision dans l’intérêt des développeurs ou tentative de GitHub de glaner encore plus d’informations ?

Voir aussi :

Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de Nvidia ont été publiés en ligne par les pirates Lapsus$, GitGuardian a découvert 6 695 clés de Samsung

Le code source de Twitch, les gains des streamers et des outils internes ont fuité en ligne, Twitch a confirmé avoir subi une violation de données suite à un changement de configuration

Compromission du code PHP : les responsables de PHP reprochent désormais une fuite de la base de données utilisateurs master.php.net, plutôt qu'un problème avec le serveur lui-même

Nintendo aurait souffert d'une fuite importante de ses anciennes consoles, le code source, les documents de développement et autres auraient été divulgués

[Aiekick]

franchement vu tout ce que fait github pour l'open source, je trouve ces cris assez deplacés.
le fric qu'il injectent dans leurs solution, des fois je me demande d'ailleurs s'il arrivent a rentrer dans leur frais.
donc bon creer un compte pour recuperer du code c'est pas grand chose.
surtout quand on voit le nombre de pilleur de code sans aucun etat d'ames.. qui veulent tout grauit pour le revendre en s'appropriant le code...

[esperanto]

La communauté Open Source s'enferme toute seule comme une grande en continuant de privilégier GitHub alors qu'elle a elle-même créé des concurrents open source parfaitement viables comme GitLab.
C'est la communauté Open Source qui a créé Git qui, à l'origine, était conçu pour être décentralisé.
GitHub était une entreprise dès le départ, mais rien n'empêchait la communauté de ré-implémenter le concept à sa sauce.

D'ailleurs,
quand Twitter est arrivé, on a vu apparaître Mastodon et laconi.ca, deux réseaux chacun décentralisés, deux logiciels ... mais un protocole pour échanger entre eux.
Alors GitHub a peut-être inventé le concept de pull request, mais d'autres l'ont repris, sauf qu'il n'existe toujours pas à ma connaissance de protocole commun permettant, pour un projet qui serait sur plusieurs plateformes, d'échanger des pull request entre elles. A défaut d'être supporté par GitHub, il faudrait peut-être déjà y penser pour les plateformes libres (GitLab et autres)

Parce que d'ici là, j'ai la possibilité d'utiliser un autre outil pour mes propres projets par contre pour les projets dont je ne suis pas l'auteur, si je veux contribuer c'est forcément par GitHub, quelles que soient les conséquences, dont celles citées dans l'article. Et ça fait pas plaisir.

[shadypierre]

des fois je me demande d'ailleurs s'il arrivent a rentrer dans leur frais.

Avec plus de 1 milliards de dollars de chiffre d'affaire annuel je ne pense pas qu'ils soient dans le besoin non, mais c'est gentil de t'inquièter pour eux

surtout quand on voit le nombre de pilleur de code sans aucun etat d'ames.. qui veulent tout grauit pour le revendre en s'appropriant le code...

Je ne vois pas en quoi le fait de se connecter va changer quoi que ce soit à ça

[CaptainDangeax]

Github, c'est bien celui qui a été racheté par Microsoft ? Sinon, il y a Gitlab, hein...

[Aiekick]

perso je trouve gitalb bien merdique, bien lourd a maj.

j'ai recemment devouvert gitea qui de ce point vue la est une pur merveille de simplicité et de legereté