Moat : auditez la sécurité de votre compte GitHub en une seule commande

Votre code source, vos clés de déploiement, vos secrets d'application, vos pipelines CI/CD… tout cela repose sur un seul compte GitHub. Pour une TPE ou une PME, une compromission de ce compte peut signifier la fuite de propriété intellectuelle, l'injection de code malveillant dans vos livrables ou la prise de contrôle de vos environnements de production. Pourtant, la grande majorité des équipes n'ont jamais fait le tour complet des paramètres de sécurité que GitHub met à leur disposition.

L'équipe Laravel vient de publier Moat, un package open source qui change la donne : en une seule commande, il inspecte votre compte utilisateur, votre organisation ou un dépôt spécifique, puis vous restitue un rapport clair avec les réglages manquants et les actions correctives recommandées.

Pourquoi la sécurité GitHub est un angle mort pour beaucoup d'équipes

GitHub propose depuis plusieurs années un arsenal de contrôles de sécurité : double authentification, protection des branches, signature des commits, scan de secrets, alertes Dependabot, permissions des workflows GitHub Actions, épinglage des actions tierces, et bien d'autres. Le problème n'est pas leur absence — c'est leur dispersion.

Ces paramètres sont répartis sur des dizaines de pages de configuration, à des niveaux différents : utilisateur, organisation, dépôt, branche, workflow. Un développeur solo ou une petite équipe sans responsable sécurité dédié ne les parcourra probablement jamais tous. Les réglages les plus critiques sont souvent les plus difficiles à trouver.

Pour les éditeurs de packages PHP, la situation est encore plus sensible. Chaque version taguée sur GitHub alimente Composer, qui la redistribue dans des milliers d'applications clientes. Un dépôt compromis peut devenir un vecteur d'attaque sur toute la chaîne d'approvisionnement logicielle (supply chain attack).

Ce que Moat vérifie concrètement

Moat s'installe via Composer et interroge l'API GitHub pour auditer les points de contrôle existants. Parmi les vérifications effectuées :

• Compte utilisateur : activation du 2FA, méthodes d'authentification, sessions actives suspectes.
• Organisation : politique de 2FA obligatoire pour tous les membres, permissions par défaut des dépôts, gestion des tokens d'accès personnels.
• Dépôts : protection des branches principales (revues obligatoires, interdiction des push directs), activation du scan de secrets, alertes Dependabot, visibilité des forks.
• Workflows GitHub Actions : permissions minimales par défaut (contents: read), épinglage des actions tierces par hash de commit plutôt que par tag.

Le rapport généré liste chaque point de contrôle avec son statut actuel et une suggestion d'action. Pas besoin de chercher dans la documentation GitHub : tout est centralisé et priorisé.

Comment intégrer Moat dans votre routine de développement

L'installation est simple pour tout projet PHP/Symfony ou Laravel :

composer require laravel/moat --dev

Puis lancez l'audit depuis votre terminal :

php artisan moat:review --org=votre-organisation

Ou sur un dépôt précis :

php artisan moat:review --repo=votre-organisation/votre-depot

Moat vous retourne immédiatement un tableau de bord terminal avec les contrôles activés ✅, ceux qui manquent ❌, et les recommandations associées.

Même si vous n'utilisez pas Laravel, le package peut s'intégrer dans n'importe quel projet PHP. C'est un outil de diagnostic ponctuel, idéal à passer en revue lors d'un onboarding, d'un audit trimestriel ou avant la mise en production d'un nouveau projet.

Ce que cela change pour votre TPE/PME

Pour une petite structure, chaque ligne de code représente un investissement. Perdre le contrôle de votre dépôt GitHub, c'est potentiellement :

• Une fuite de propriété intellectuelle si un attaquant accède à vos dépôts privés.
• Une atteinte à la réputation si du code malveillant est injecté dans un package ou une application que vous distribuez à vos clients.
• Une interruption d'activité si vos secrets de production (clés API, tokens, mots de passe) sont exposés et exploités.

Moat ne remplace pas une politique de sécurité complète, mais il comble un angle mort réel : il rend visibles les réglages que vous n'avez jamais eu le temps de vérifier. En moins de cinq minutes, vous disposez d'un état des lieux factuel et d'une liste d'actions concrètes, sans avoir besoin d'un expert sécurité en interne.

C'est exactement le type d'outil que nous recommandons chez MulerTech à nos clients qui gèrent eux-mêmes leurs dépôts : simple, non intrusif, et immédiatement actionnable.

Conclusion

La sécurité de votre compte GitHub n'est pas un sujet réservé aux grandes entreprises. C'est la fondation sur laquelle repose tout votre processus de livraison logicielle. Moat, publié par l'équipe Laravel (source originale), est une réponse pragmatique à un problème concret : transformer une liste de bonnes pratiques dispersées en un audit opérationnel en une commande.

Prenez dix minutes cette semaine pour lancer un premier audit sur vos dépôts principaux. Les résultats pourraient vous surprendre — et vous éviter bien des problèmes.