Forum général.général Bonnes pratiques de sécurité avant d'accepter une pull request d'un tiers ?

Bonjour,

Je débute dans un rôle de mainteneur sur un projet communautaire hébergé sur GitHub, et je cherche à apprendre les bonnes pratiques de sécurité lors de l'évaluation de 'pull requests' soumises par des tiers (en général inconnus de moi jusqu'au moment où ils/elles soumettent leur pull request).

Le projet en question est constitué de fichiers sources (texte brut et images) utilisés pour générer un site web statique de documentation, et les contributeurs sont donc susceptibles de soumettre des PRs contenant des extraits de code, des URLs, et des fichiers png ou jpg lorsqu'il s'agit d'une capture d'écran ou d'un schéma par exemple.

Pour tout ce qui est texte brut, j'examine les changements soumis avec git diff, et je vérifie également si des caractères non-ASCII potentiellement suspects sont présents dans les fichiers modifiés avec grep --color="auto" -P -n "[^\x00-\x7F]" fichier.txt.

Par contre, pour les fichiers binaires comme les png ou les jpg, je ne sais pas trop comment vérifier qu'ils ne contiennent aucun code malveillant. Il semble qu'il existe plusieurs manières d'insérer des malwares dans des images, cf. par exemple https://blog.reversinglabs.com/blog/malware-in-images.

D'où ma question : auriez-vous des recommandations concernant la vérification de fichiers binaires avant d'accepter une PR de personnes inconnues ? Dans mon cas particulier, mon objectif est de m'assurer que le site web statique construit à partir du dépôt Git est propre et sûr pour ses utilisateurs.

Merci pour vos suggestions et conseils :)