Category: GitHub

Des vulnérabilités dans des applications tierces ont causé le vol de code de GitHub

Jean-Michel BonnetLeave a comment

github vulnerabilities

GitHub a signalé qu’un pirate exploitait apparemment une faille de sécurité ou
erreur humaine sur les applications tierces Travis et Heroku.

La faille de sécurité a exposé les jetons, permettant au pirate de voler les jetons et de les utiliser pour entrer dans des référentiels privés sur GitHub (y compris NPM)
il a donc réussi à télécharger ces référentiels – y compris tout le code et les informations qu’ils contiennent.

Cela signifie que : des vulnérabilités dans des applications tierces ont causé le vol de code de GitHub

Comment pouvez-vous empêcher un piratage similaire de votre dépôt git ?

Il existe plusieurs solutions différentes – et vous devez toutes les mettre en œuvre :

1) Réduire les autorisations

Si vous utilisez GitHub dans le cloud public (github.com) et donnez aux fournisseurs tiers un accès Oauth (le type de jetons volés) –
minimiser les autorisations que vous accordez à des tiers pour accéder à vos informations.

Vous devez également passer en revue les autorisations qu’ils demandent et vous assurer qu’elles ne sont pas trop larges et permissives.

Une erreur courante consiste à accorder des autorisations globales.

Il en va de même lors de l’octroi d’autorisations aux applications GitHub (qui génèrent également des jetons).

2) Ajouter des couches de protection

Vous devriez également envisager de passer à GitHub / GitLab Enterprise sur un serveur privé
(sur site / locataire unique / autogéré) derrière des couches de protection supplémentaires telles que pare-feu, SSO ou accès distant sécurisé,

ou utilisez uniquement des adresses IP autorisées (dans les éditions de cloud public), qui offrent des couches de protection supplémentaires contre les utilisateurs non autorisés du monde entier.

3) Protéger les secrets

Au-delà de cela – il est important que le fournisseur tiers stocke les jetons dans un outil de coffre-fort centralisé – ce qui aurait rendu très difficile pour les pirates d’obtenir les jetons (le rendant presque toujours inaccessible).

Si vous utilisez de tels tiers, vérifiez ou assurez-vous (dans le cadre de votre chaîne d’approvisionnement) qu’ils le stockent dans des outils Vault tels que Akeyless Vault (SaaS et une solution hybride) ou HashiCorp pour les réseaux fermés.

Il en va de même pour toute application qui accorde des autorisations d’accès à des tiers à l’aide de jetons.

ALM-Toolbox fournit des solutions ALM et DevSecOps et peut vous aider à protéger vos référentiels et vos environnements logiciels/cloud.

Contactez-nous : devsecops@almtoolbox.com   ou +33(0)1 84 17 53 28    

Baisse de prix GitHub Enterprise, les utilisateurs GitLab ont déjà des prix meilleurs

Gitlab France AdminLeave a comment

GitHub a réduit le prix de GitHub Enterprise à 210 $ par utilisateur et par an, au lieu de 252 $   auparavant  .

github vs gitlab pricing

Cette édition de GitHub Enterprise comprend toutes les fonctionnalités disponibles dans GitHub et peut être exécuté à la fois dans le cloud en tant que service SaaS géré par GitHub, à la fois en tant qu’auto-hébergé sur votre machine dans votre centre de données privé ou en tant que machine privée dans le cloud de votre choix.

Ce prix réduit et attractif (moyennant une cotisation annuelle) est destiné à donner un  “combat” au très populaire GitLab Premium et surtout pour son prix de 228$ par utilisateur par an (GitLab peut également être exécuté à la fois dans le cloud ou en tant qu’auto-hébergé avec vous ou sur votre machine privée dans le cloud).

Attention : GitHub limite ce  prix réduit aux 100 premiers utilisateurs et à la première année uniquement!

Notre société  EGDS – ALMtoolbox est le revendeur agréé GitLab, pour l’Europe et Israel.
Nous avons des experts qui peuvent vous accompagner :
  • Planifier une nouvelle implémentation
  • Mettre en place de nouveaux environnements
  • Vous aider à choisir la bonne licence d’abonnement pour vous
  • Implémenter l’intégration avec JIRA, Jenkins, Slack, Docker et d’autres outils
  • Personnalisations et développement de modules complémentaires
  • Formation GitLab et Git
  • Implémenter la migration à partir de Git, GitHub, BitBucket, TFS, ClearCase, RTC, Subversion (SVN), JIRA, Jenkins et plus
  • Services gérés
Contactez-nous: gitlab@almtoolbox.com ou 01 84 17 53 28 (France) / +972-722-405-222 (international) / 866-503-1471 (USA/Canada)

 

Lien utiles:

 

Atlassian a changé les règles. Que faire?

Jean-Michel BonnetLeave a comment

Dans l’article suivant, nous soulignons les options d’action basées sur les dernières mises à jour d’Atlassian qui ont étonné et mis en colère la communauté des utilisateurs d’Atlassian en Europe  et dans le monde (et nous en faisons partie)  et pour des raisons qui lui sont propres  a décidé d’éliminer ses produits  on  premise.

Étant donné que nous prenons en charge de nombreux clients on premise, nous avons reçu ces dernières semaines des dizaines de demandes avec la question “Que faisons-nous maintenant?”

Notre recommandation était d’attendre un peu (si possible) car il n’est pas nécessaire de prendre une décision urgente, et il vaut mieux voir si la situation  s’éclaircit après un certain temps. Maintenant, que les choses sont  devenues plus claires  et dans l’article ici, nous écrivons  pour la première fois des instructions et des options relatives à Jira et aux outils alternatifs (et plus tard, nous publierons des articles sur Bitbucket et Confluence).

Le message d’Atlassian en bref :

Le 16 octobre, Atlassian a publié une déclaration officielle disant (brièvement) ce qui suit:

Ils arrêtent de développer les produits suivants:

  • Jira Server
  • Jira Software Server
  • Bitbucket Server
  • Confluence Server
  • Crowd Server
  • Bamboo
  • Jira Service Desk Server
  • Il sera possible d’acheter de nouvelles licences pour les produits ci-dessus jusqu’au 1/2/2021 (le  prix des renouvellements augmentera  et le support des  innovations)
  • Le support et les mises à jour pour les produits ci-dessus peuvent être achetés jusqu’au 2/2/2022
  • Arrêt du support produit (et clôture définitive et complète) le 2/2/2024
  • Il sera possible d’acheter des applications tierces sur leur marketplace jusqu’au 02/02/2023

Il est recommandé de lire l’annonce officielle du fabricant – c’est celle qui est déterminante (lien vers celle-ci en fin d’article).

Que peut-on faire avec Jira à partir de maintenant?

  1. Vous pouvez accéder au cloud public Atlassian. Nous aidons les entreprises à explorer les significations et les coûts, et savons également comment réduire les coûts de toutes sortes de façons – j’ai inclus une astuce sur le sujet dans les liens à la fin de cet article.
  2. Vous pouvez basculer vers les solutions de centre de données d’Atlassian (il s’agit en fait d’une solution à haute disponibilité qui peut être exécutée sur site ou dans le cloud), mais il est important de garder à l’esprit que les prix peuvent être considérablement plus élevés.
  3. Il est possible de rester sur Jira Server (même si on s’attend à ce qu’il cesse d’évoluer et de se mettre à jour). Nous proposons notre propre support produit comme nous l’avons fait ces dernières années.
  4. Et on peut bien sûr envisager au-delà d’autres outils

Si vous ne souhaitez pas rester avec Atlassian Jira, vous avez le choix entre plusieurs options:

Nous avons divisé les options ici en 2 catégories: votre propre serveur privé ou cloud.

Toutes les options ici incluent des outils que nous connaissons bien; les outils que nous avons testés et ceux que nous représentons et leur proposons un support, des formations, des licences et plus encore.

Nous avons divisé les options ici en 2 catégories: votre propre serveur privé ou cloud.

Toutes les options ici incluent des outils que nous connaissons bien; Les outils que nous avons testés et ceux que nous représentons et leur proposons un support, des formations, des licences et plus encore.

Si vous préférez votre propre serveur (auto-hébergé / sur site):

  • GitLab – GitLab a la capacité de gérer des tâches en plus du code et de la gestion CI / CD afin que tout soit dans un seul package (plus d’informations ici). Nous sommes officiellement certifiés pour soutenir le produit depuis 2017, et les représentants officiels de GitLab en France et dans d’autre pays.
  • Taiga – un outil relativement ancien, basé sur l’open source. Nous sommes qualifiés pour fournir un support technique pour le produit (en coopération avec le fabricant). L’outil est destiné à ceux qui souhaitent passer à des méthodes agiles telles que Agile, Scrum, Kanban, etc. et qui recherchent un remplaçant pour des outils tels que Jira ou Asana. Nous sommes les seuls représentants officiels du produit en Israël. Plus de détails peuvent être lus ici.
  • OpenProject – Un ancien outil basé sur l’open source, conçu pour gérer des projets et des tâches qui ne sont pas nécessairement basés sur Agile (et les produits ne sont pas nécessairement du code). Nous sommes les seuls représentants officiels du produit en Israël. Plus de détails peuvent être lus ici.
  • Azure DevOps – gestion des tâches, gestion de code basée sur git, gestion des tests et CI / CD afin que tout soit dans un seul package (ancien basé sur TFS).
  • HCL Compass – Gestion de tâches et de projets – un outil riche avec une variété de capacités et de personnalisations pouvant être effectuées, similaire à Jira.
  • Managed ClearQuest – un produit que nous supportons depuis plus de 20 ans.

Si vous préférez une solution cloud plutôt que d’avoir votre propre serveur:

GitLab – Similaire à ce que est écrit ci-dessus

  • Taïga – ibid
  • OpenProject – ibid
  • Azure DevOps – ibid
  • ClickUp – un outil de partage qui comprend des documents, des tâches, des discussions, des destinations et plus
  • Miro – un outil innovant pour la planification des tâches, la collaboration entre les personnes, le travail agile et plus
  • Trello – Gérez facilement les tâches et les projets (généralement pas pour les projets complexes)
  • Managed Compass (serveur géré privé dans le cloud)
  • Managed ClearQuest (cloud privé et géré)

Nous savons  que la sélection est large… donc dans un futur proche vous pouvez nous contacter par email à l’adresse suivante devops.fr@almtoolbox.com pour  que nous vous aidions  à trouver l’outil qui correspond le mieux à vos besoins.

Pour certains des outils, nous avons également un environnement «sandbox» à expérimenter, et s’il est disponible, nous pouvons vous en donner un accès temporaire.

Conseil: Parfois, la meilleure façon de choisir rapidement l’outil qui vous convient est de définir des critères pondérés, puis d’effectuer une sélection préliminaire pour sélectionner quelques outils “finalistes”, puis d’effectuer un examen plus approfondi de ces outils finaux.

L’équipe d’ EGDS ALM-Toolbox est expérimentée dans tous les outils ci-dessus et travaille avec ALM et DevOps depuis plus de 15 ans. Nous pouvons vous aider sur les aspects suivants:

Aide à choisir les bons outils pour votre organisation

Aide à la sélection de la licence la plus appropriée en fonction des besoins

Passer à de nouveaux outils et transférer du matériel rapidement et en toute sécurité (migration)

Au-delà du cloud (Jira Cloud) et examinez si votre environnement actuel peut réellement passer au cloud

Connecter les outils et les adapter aux processus de développement – en particulier avec git, Jenkins, Kubernetes, des outils de chat (tels que Slack / Mattermost) et plus

Planification et construction de processus complets de développement et de DevOps, qui incluent à la fois l’aspect méthodologique et la combinaison des outils eux-mêmes – y compris la gestion de code, CI / CD, révision de code et processus d’analyse de code pour améliorer la sécurité du code que vous développez ou utilisez

Conseils et conseils dans les étapes de mise en œuvre
Support technique (y compris l’option SLA)
Pour plus de détails contactez-nous: devops.fr@almtoolbox.com ou par
téléphone: 01 84 17 53 28

Et qu’en est-il de Bitbucket et de Confluence?

Dans le prochain article, nous écrirons  sur les directions possibles pour les alternatives Bitbucket. Vous pouvez nous envoyer un e-mail (à l’adresse ci-dessus) si vous souhaitez recevoir une mise à jour dès sa sortie (ou contactez-nous maintenant si le problème est urgent  pour vous).

Liens pertinents:

L’annonce officielle d’Atlassian

 

 

GitHub suit GitLab et Bitbucket et offre un référentiel privé gratuit dans le cloud

Jean-Michel BonnetLeave a comment

GitHub suit GitLab et Bitbucket

GitHub propose à partir d’aujourd’hui, pour la première fois, des référentiels privés gratuits, dans son cloud public.

La limite est fixée à 3 utilisateurs et contributeurs de code (“Collaborateurs”), et au-delà, le service devient payant comme il l’était jusqu’à présent.

Pour qui est-ce bon ? Pour ceux qui veulent construire un simple projet parallèle ; Enregistrer des fichiers en privé ; Essayez d’exécuter un extrait de code en privé avant de l’exposer publiquement, etc.

À mon avis, la nouveauté est de mettre un terme à l’abandon des utilisateurs (beaucoup ont quitté Microsoft ces derniers mois) et à un changement dans lequel Microsoft obligera les utilisateurs de GitHub à travailler sur Azure et à payer Azure (et à obtenir GitHub gratuitement).

Dans le nouveau mode, la différence entre les outils communs, dans la version cloud, est la suivante :

  • Comme mentionné précédemment, chez GitHub, il y a jusqu’à 3 utilisateurs gratuits
  • Bitbucket permet jusqu’à 5 utilisateurs gratuits
  • GitLab ne limite pas le nombre d’utilisateurs gratuits

GitLab offre le volume de dépôt le plus généreux (jusqu’à 10 Go de stockage gratuit par dépôt, GitHub a une limite maximale de 1 Go et Bitbucket jusqu’à 2 Go).

Synthèses des différences (et points) dans la version cloud publique :

Utilisateurs gratuits Taille maxi référentiel (Gb) Taille maxi fichier individuel (MB) Nombre maximal d’appels par heure (par client)
GitHub 3 2 100 5000
GitLab Pas de limite 10 Pas de limite, selon la taille référentiel 36000
BitBucket 5 1 Pas de limite, selon la taille référentiel 5000

(Mise à jour du 8/1/2019) : Ce matin, nous avons passé en revue des réactions de par le monde de changement majeur. Beaucoup ont exprimé leur inquiétude quant au fait que “si vous obtenez quelque chose gratuitement, vous devenez le produit” et à la vieille crainte que des référentiels publics soient piratés de temps en temps (comme des attaques DDOS). Beaucoup ont répondu que si la peur est grande, il est toujours possible de construire un tel serveur privé, et même gratuitement (avec GitLab).

Les versions sur site / auto-hébergées indiquent que le choix a été fait et que toutes les enquêtes des deux dernières années indiquent qu’au moins 70% des nouveaux projets ouverts – en particulier dans les entreprises développant des logiciels – choisissent GitLab (des slides et des liens vers des enquêtes sont disponibles sur notre blog).

Et il y a aussi une nouvelle version de GitHub Enterprise

Et il y a une autre chose qui est maintenant nouveau dans GitHub – la version Enterprise peut être achetée par le nombre exact d’utilisateurs (pas des dizaines d’utilisateurs comme cela a été le cas), similaire à la licence GitLab.

ALMtoolbox est spécialisé dans le développement et le test pour la campagne DevOps et pour l’amélioration des processus de travail comprenant outils des développement, tests, CI / CD, transfert en production et travail sur le cloud, tels que GitLab, Kubernetes, Spotinst, Terraform, Vault, Consul, Rancher et autres. , Nous offrons les services de Consultant et vente de licences d’outils (la liste complète des outils est disponible ici).

ALMtoolbox est le seul représentant officiel de GitLab en France  et dans d’autres pays.

Pour des questions:  01 84 17 53 28 elig@almtoolbox.com