pi-secured-setup v1.0.1 et v1.0.2 : durcissement et supply chain
Deux releases le même jour, à vingt minutes d’intervalle : v1.0.1 puis v1.0.2. Les deux font le même travail — durcir pi-secured-setup lui-même. C’est un billet court pour expliquer ce qui a changé et pourquoi ça compte, parce qu’un outil de sécurité qui traîne ses propres vulnérabilités perd toute crédibilité.
Si vous découvrez le projet, l’article de présentation pose les bases : Guards, Scanners, audit trail.
v1.0.1 — amélioration qualité
Trois axes :
- Vulnérabilités critique et haute sévérité résolues. Le détail technique suit en v1.0.2.
- Bugs dans
splitCommandettriggerSkillReview. Le premier est le plus sensible : c’est lui qui découpe une commande bash pour que les sous-shells comme$(whoami)soient classifiés séparément. La version précédente ne gérait pas correctement les guillemets — un sous-shell mal extrait pouvait échapper à la classification. Le splitting est désormais quote-aware. - Rédaction d’audit améliorée et tests isolés du vrai
HOME(fini la fuite de config machine dans la suite de tests), plus correction des collisions de noms de skills.
Côté écosystème : migration du namespace @mariozechner vers @earendil-works. L’amont du projet pi a changé de scope ; on suit le mouvement.
Et tous les retours de la revue de PR Copilot ont été adressés.
v1.0.2 — la supply chain, jusqu’aux dépendances transitives
v1.0.1 corrigeait le code de l’extension. v1.0.2 attaque les dépendances qu’elle traîne — plus précisément les transitives non bundlées atteignables via @earendil-works/pi-ai → @google/genai.
protobufjsmonté en 7.6.4,wsen 8.21.0, via lesoverridesnpm.- Ça mitige les alertes Dependabot sur
protobufjs(GHSA-wcpc-wj8m-hjx6, GHSA-f38q-mgvj-vph7, GHSA-jggg-4jg4-v7c6) etws(GHSA-96hv-2xvq-fx4p, GHSA-58qx-3vcg-4xpx) là où elles sont atteignables.
La part honnête : les copies bundlées dans @earendil-works/pi-coding-agent@0.79.6 (undici, protobufjs, ws) sont toujours là. Les overrides ne touchent pas ce qui est déjà empaqueté en amont — il faudra un bump du publisher @earendil-works. Je préfère le dire explicitement plutôt que de laisser croire que tout est réglé.
C’est exactement le genre de chaîne d’approvisionnement que pi-secured-setup surveille chez vous. Appliquer la même rigueur à nous-mêmes était la moindre des choses.
Mise à jour
pi install git:github.com/mwolff44/pi-secured-setup
Sources et changelog complet sur GitHub. Retours et bug reports bienvenus.