<!DOCTYPE html>
<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Hi all, <br>
    </p>
    <p>the security requirements of IT departments keeps on growing and
      we receive more and more requests on the security mail. <br>
    </p>
    <p>The topic is broad, from filling in custom forms based on various
      national or company-specific policies, to very precise
      vulnerability scanning, or even ask us what we do to prevent
      XZ-like social engineering attacks. <br>
    </p>
    <p>To get a better score on good practices [0], a simple first step
      would be to activate code scanning. Github provides CodeQL [1] for
      free. I would like to activate it and see how it goes. <br>
    </p>
    <p>Would you be OK with activating this and see how it goes (too
      much spamming, limitations on our codebase, more advanced
      configuration required etc... ) ? <br>
    </p>
    <p> In case of no reaction, I'll push the button on friday and see
      what happens :) <br>
    </p>
    <p><br>
    </p>
    <p>@lova @Tim, we probably should do similar things for our
      websites, we have some bounty seekers raising disclosures on our
      websites. I'd prefer that we catch those CVE earlier than have to
      deal with some of those anonymous persons.  <br>
    </p>
    <p><br>
    </p>
    <p>Thanks a lot !</p>
    <p>Régis<br>
    </p>
    <p><br>
    </p>
    <p>[0] <a class="moz-txt-link-freetext"
href="https://securityscorecards.dev/viewer/?uri=github.com/qgis/QGIS">https://securityscorecards.dev/viewer/?uri=github.com/qgis/QGIS</a> </p>
    <p>[1] <a class="moz-txt-link-freetext"
        href="https://codeql.github.com/">https://codeql.github.com/</a></p>
    <p></p>
    <div id="grammalecte_menu_main_button_shadow_host"
      style="width: 0px; height: 0px;"></div>
  </body>
</html>