Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Avec Copilot Autofix, GitHub part à la chasse de vos secrets

Un ptit (Auto)fix ?

Avec Copilot Autofix, GitHub part à la chasse de vos secrets

GitHub a annoncé plusieurs améliorations et changements importants. Parmi les ajouts, un renforcement de la fonction Copilot Autofix, au centre de campagnes de sécurité désormais poussées par l’entreprise. Sur Windows, Copilot reçoit également deux fonctions attendues.

Le 10 avril à 08h30

Ces derniers jours, GitHub a annoncé plusieurs évolutions significatives, et certaines nécessiteront de payer. On commence avec la sécurité, pour laquelle l’entreprise avait préparé le terrain. Il y a une semaine, elle communiquait ainsi sur les 39 millions de secrets que son service Secret Scanning avait trouvés jusqu’à présent. L’outil sert à analyser le code pour y trouver des clés d’API, mots de passe, jetons et autres informations ne devant pas se retrouver devant les yeux des utilisateurs.

Sécurité en services détachés

GitHub indiquait alors qu’en dépit des améliorations continuelles sur la sécurité, le désir de productivité et de confort prendraient le dessus. Par commodité, des secrets peuvent ainsi fuiter pendant les commits. L’autre source de fuite selon GitHub réside dans l’historique git, qui peut révéler accidentellement des informations sensibles dans le dépôt.

En conséquence, GitHub a annoncé hier soir plusieurs changements. Le plus important est la disponibilité des services Secret Protection et Code Security en produits autonomes. Selon l’entreprise, leur disponibilité limitée aux abonnements les plus onéreux était un frein pour nombre d’entreprises. En outre, une fonction d’évaluation gratuite des risques est proposée pour tous les dépôts GitHub, basée sur l’organisation et les éventuels secrets révélés. Cette recherche de secrets a également été intégrée dans Copilot pour les données non structurées (comme les mots de passe) et renforcée dans l’analyse des pushs.

GitHub pousse vers des campagnes de sécurité

La société, filiale de Microsoft, pousse depuis vers une hausse de la sécurité du code et des dépôts associés. Hier soir, elle a même appelé à des campagnes de sécurité, destinées à tous les clients disposant d’une offre Advanced Security ou Code Security. Elles avaient été lancées en préversion l’année dernière. Objectif : réduire la dette de sécurité.

Les campagnes doivent permettre aux équipes produits et sécurité de mieux communiquer. La direction est donnée par l’équipe de sécurité, qui définit les risques à traiter en priorité. Ce référentiel sert de cadre à la campagne et peut être accompagné d’un modèle prédéfini, comme le Top 10 des types de failles par MITRE. GitHub remonte également des statistiques, sur lesquelles l’équipe peut s’appuyer.

Après quoi, la campagne est lancée avec un calendrier. Les développeurs concernés reçoivent une notification, selon le contexte (place dans l’équipe, section du projet, etc.). Les tâches dévolues peuvent se traiter comme « n’importe quel autre travail de fonctionnalité ». À ceci près que l’assistant Copilot Autofix fait partie intégrante du processus. Il commence alors à suggérer des corrections pour l’ensemble des alertes de la campagne, accompagnées d’un « texte personnalisé ». Chaque campagne a au moins un ou une responsable pour faciliter les échanges avec l’équipe produit.

Par rapport à la préversion lancée l’année dernière, les campagnes ont plusieurs nouvelles fonctions. L’équipe de sécurité peut notamment itérer sur la portée des campagnes et les enregistrer sous forme de campagnes provisoires, avant leur lancement effectif. Les responsables peuvent aussi créer automatiquement des enjeux dans les dépôts à partir des alertes présentes dans la campagne. Surtout, ils ont maintenant accès à des statistiques agrégées reflétant la progression générale de toutes les campagnes, en cours ou passées.

Copilot : des agents partout

GitHub a annoncé il y a quelques jours plusieurs améliorations aussi pour son Copilot, tout particulièrement sur les agents, notamment la disponibilité en version stable du Mode Agent, qui avait été présenté en février.

On note aussi le lancement d’une préversion pour Model Context Protocol (MCP), conçu pour compléter le Mode Agent avec du contexte et des capacités, à la manière d’un hub où viennent se brancher des aides externes, explique GitHub. L’entreprise fournit une liste de serveurs MCP, permettant au Mode Agent de gagner en fonctions comme la recherche à travers des dépôts multiples, dans l’idée de le transformer en aide de camp.

Un nouveau forfait Pro+ avec des requêtes premium

GitHub Copilot dispose en outre désormais des modèles Claude 3.5, 3.7 Sonnet et 3.7 Sonnet Thinking d’Anthropic, Gemini 2.0 Flash de Google et o3-mini d’OpenAI pour les développeurs disposant d’un abonnement payant.

Pour compenser l’arrivée des nouveaux modèles et outils, l’entreprise impose quelques limites. Toutes les tâches et actions faisant appel aux derniers modèles ajoutés, comme Claude 3.7 Sonnet, sont soumises à un plafond de « requêtes premium ». Le nombre de requêtes disponibles dépend de la formule d’abonnement : 300 pour Pro et Business, 1 000 pour Enterprise. Ces réserves seront appliquées respectivement les 5, 12 et 19 mai.

GitHub précise que ces limites ne s’appliquent qu’aux nouveaux modèles. Pour les personnes se servant de l’actuel GPT-4o, rien ne change. En outre, un nouveau forfait Pro+ est proposé avec 1 500 requêtes premium pour 39 dollars par mois. Il sera nécessaire pour accéder aux « meilleures modèles, comme GPT-4.5 ». Enfin, il est possible d’acheter des requêtes premium supplémentaires à raison de 0,04 dollar l’unité quand la réserve est épuisée.

Copilot devient plus intéressant sur Windows

Si Microsoft a décliné son Copilot pour presque tous les usages, l’assistant n’a jusqu’à présent pas marqué les esprits sur Windows, où ses capacités pourraient pourtant faire quelques étincelles.

Plusieurs améliorations sont désormais disponibles sur l’ensemble des canaux de préversion pour Windows, via une mise à jour de l’application par le Microsoft Store. Toutefois, ces fonctions ne sont accessibles qu’aux États-Unis pour l’instant.

La première est une recherche détaillée pour les fichiers. Le type de recherche que l’on attend sans doute d’un système moderne aujourd’hui. Les requêtes peuvent se faire en langage naturel, par exemple « Peux-tu retrouver mon CV ? » ou « Ouvre le document de planification de voyage sur lequel je travaillais la semaine dernière ». La plupart des types de fichiers sont pris en charge, dont les .docx, .xlsx, .pptx, .txt, .pdf et .json.

L’autre fonction, Copilot Vision, permet en théorie à l’assistant de venir donner un coup de main dans n’importe quelle application tierce. Depuis Copilot, on commence par cliquer sur l’icône représentant une paire de lunettes, puis on sélectionne la fenêtre d’application ou du navigateur sur laquelle on veut pouvoir agir. Après quoi, on rédige sa demande dans Copilot, l’assistant effectuant l’opération sur la base des renseignements présents dans l’application surveillée.

Commentaires (10)

votre avatar
Je reconnais que pour 10€/mois Github Copilot est une bonne affaire. Quand j'ai vu débarquer le choix des IA supplémentaire j'ai apprécié Claude qui semble un peu plus pertinent pour le code.
Pas sur par contre que je saute le pas sur le forfait 39$.
J'utilise pas mal Mistral AI en ce moment et je le trouve pas mal aussi (il faudrait que je me penche pour l'intégrer aux outils JetBrain pour que ce soit parfait).
votre avatar
Personnellement, utilisant PHPStorm, on a droit à une licence JetbrainsAI au boulot (qui contient également Grazie Pro, pour tout ce qui est traductions).
Pour avoir des collègues qui utilisent Github Copilot, les reco et le chat de JetbrainsAI sont plus pertinentes. Surtout que tu as le choix du provider (pour ma part j'utilise surtout Claude Sonnet 3.7). Il n'y a que l'intégration au sein de l'IDE qui, selon leurs dires, semble paradoxalement mieux faite pour Copilot. Mais ça ça reste assez subjectif je trouve, ayant tout ce qu'il me faut avec JetbrainsAI, qui s'améliore à chaque update à ce niveau (rien que la possibilité de créer ses propres prompts, réutilisables et paramétrables, c'est un gros plus).
votre avatar
Question bête @Vincent_H, selon toi, quelles "capacités pourraient pourtant faire quelques étincelles" ?

Je n'ai pas Copilot sur mon PC et du coup je ne vois pas ce qu'il pourrait faire d'intéressant à ma place.
votre avatar
Il pourrait corriger les bugs sur Next ^^
votre avatar
La première est une recherche détaillée pour les fichiers. Le type de recherche que l’on attend sans doute d’un système moderne aujourd’hui. Les requêtes peuvent se faire en langage naturel, par exemple « Peux-tu retrouver mon CV ? » ou « Ouvre le document de planification de voyage sur lequel je travaillais la semaine dernière ». La plupart des types de fichiers sont pris en charge, dont les .docx, .xlsx, .pptx, .txt, .pdf et .json.
Cela suppose que l'OS scanne et que l'IA intégré tente de comprendre le contenu des fichiers afin de pouvoir répondre à nos questions à tout moment. C'est Recall mais plus profondément encore. Et avec la télémétrie abusive, d'ici que Microsoft se permette des horreurs il n'y a pas loin sinon le risque de fuite d'informations personnelles par des failles de sécurité.

J'espère que ce sera désactivable car c'est hors de question.
votre avatar
Je comprends le danger que tu exprimes. Néanmoins, comment ajouter des fonctionnalités modernes* à un logiciel (ici un OS) pour améliorer l'expérience utilisateur sans pour autant analyser profondément les objets et indexer la recherche pour un usage global (PC, mobile, tablette,..) ?

Vraie question.

*Par fonctionnalité moderne, on parle ici de recherche en langage naturel sur des objets et leurs contenus qui peuvent être contextualisés (ie: recherche d'une photo avec Marc et Françoise en Italie ou recherche d'une photo prise à Rome en 2001 avec des amis)
votre avatar
« Rechercher une photo prise à Rome en 2001 avec des amis » suppose de traiter des données sur ces derniers sans leur consentement préalable... Aussi, la contextualisation suppose une connaissance approfondie de l'usager et donc de la fin de la vie privée, surtout si l'on souhaite que l'IA soit efficace. Il y a déjà plus d'un papier sur cette question.

Il y a pas mal d'améliorations à apporter à Windows sans IA, mais Microsoft veut juste vendre de l'IA pour forcer les usagers à s'y mettre et justifier ses investissements, peu importe si ça répond ou non à un besoin concret.

De toute façon la majorité des usagers ne saura même pas qu'elle pourrait rechercher en langage naturel, et ceux qui passeront par mes mains n'en auront même pas la possibilité puisque Recall et divers sera désactivé de base, sauf rares exceptions.
votre avatar
Je me suis peut être mal fait comprendre.
« Rechercher une photo prise à Rome en 2001 avec des amis » est le besoin exprimé par l'utilisateur (du moins la tech lui a dit que c'était possible voir même souhaitable (merci au marketing)).

Ma question est donc comment répondre à ce type de besoin sans recours à des outils qui posent question en matière de vie privée?

Voir, comme faire un assistant numérique de la vie de tous les jours sans que ce dernier soit un aspirateur de données privées?
votre avatar
En fait, Microsoft, en rendant le traitement local au PC a répondu à la question de la vie privée (à confirmer sur l'aspect télémétrie dont parle ton interlocuteur : il ne faut pas que la télémétrie remonte d'information personnelle d'autres personnes que l'utilisateur qui lui peut donner son consentement ou non sur la télémétrie).
Le RGPD ne s'applique pas quand le traitement est fait "par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;" (article 2). Donc, une personne physique peut identifier les personnes sur ses photos et Recall peut ensuite lui retrouver les photos concernées à sa demande.

La protection de la vie privée est bien plus facile tant que le traitement est local et que rien ne ressort du PC/smartphone qui doit donc avoir une puissance de calcul pour une IA locale. Apple et Microsoft l'ont compris.
votre avatar
Merci @fred42 !

Donc ca nécessite de la puissance de traitement local, avec un NPU adapté j'imagine.

ps: je pense que la télémétrie devrait utiliser (je n'en suis pas certain) des GUID renouvelés pour gérer l'occurrence par exemple sans pour autant identifier l'objet lui-même mais je peux me tromper.

Avec Copilot Autofix, GitHub part à la chasse de vos secrets

  • Sécurité en services détachés

  • GitHub pousse vers des campagnes de sécurité

  • Copilot : des agents partout

  • Un nouveau forfait Pro+ avec des requêtes premium

  • Copilot devient plus intéressant sur Windows

Fermer