Github rallie les géants de la tech pour sauver le code libre de la fatigue
GitHub vient de transformer la lutte pour la sécurité open-source en coalition de super-puissances. Anthropic, AWS, Google et OpenAI débloquent 12,5 millions de dollars pour la fondation Linux Alpha-Omega, tandis que Microsoft ajoute 5,5 millions de crédits Azure. Objectif: épargner aux 280 000 mainteneurs du monde entier les nuits blanches à réparer des vulnérabilités.
Des maintenieurs épuisés, des vulnérabilités réveillées à 3 h 14
Kevin Crosby, directeur senior du fonds open-source chez Microsoft, résume la situation: « Chaque faille corrigée à l’aube est un échec collectif. » Le nouveau pacte injecte des outils d’IA directement dans les workflows GitHub, sans exiger des bénévoles qu’ils deviennent experts en sécurité. L’idée? Que Copilot et les moteurs de détection de failles fassent le sale boulot pendant que les humains dorment.
Mais il y un détail qui fâche: l’initiative survient quelques jours après le fiasco de Vib-OS, ce système d’exploitation 100 % généré par IA qui plante avant même d’afficher le menu démarrer. Un rappel brutal que l’intelligence artificielle n’est pas une baguette magique. « Nous ne demandons pas aux mainteneurs de faire confiance à une boîte noire, précise Crosby. Nous leur livrons des modèles auditableset des crédits Azure pour tester en sandbox. »
Quand amazon finance la sécurité de google
La carte des alliances surprend: AWS finance les dépendances que Chrome utilise, Google paie les patchs qui protègeront les bibliothèques d’Anthropic, et tous reversent des métriques anonymisées à OpenSSF. « Aucune entreprise ne peut sécuriser 2,3 milliards de lignes de code seule », martèle Crosby. Le montant global para 2024 atteint ainsi 18 millions, soit l’équivalent du budget annuel de dix start-up sécurité réunies.
Les premiers projets éligibles? Les 50 000 repos les plus clonés, ceux qui propagent des vulnérabilités par héritage. Datadog, OWASP et l’Atlantic Council jouent les vigies en fournissant des données d’attaque en temps réel. Résultat: les alertes passeront de 72 heures à 15 minutes, promet GitHub.
Et le mainteneur moyen, que gagne-t-il? Un accès prioritaire à Copilot Security, des crédits compute gratuits et, surtout, une excuse pour refuser le fameux « petit fix rapide » demandé à minuit. Car la vraie menace, c’est la fatigue chronique qui transforme les passionnés en cibles faciles des malwares.
Le pari est simple: si la coalition tient plus d’un an, le temps moyen de correction d’une CVE pourrait descendre sous les 24 heures. Si elle échoue, la prochaine Heartbleed naîtra dans un repo abandonné, entre deux notifications de rappel.