StatewardStateward
Glossaire

Le vocabulaire sécurité, en clair

Les termes de sécurité applicative et supply-chain rencontrés en livrant du code — surtout généré par IA — définis sans jargon. Chacun renvoie au flux de menaces correspondant.

Analyse d’atteignabilitéAttaque de la chaîne d’approvisionnementBug de logique & d’exactitudeConfusion de dépendancesCVECVSSCWECyber Resilience Act européenDétection de secretsDORAExposition de source mapsFaux positifGraphe d’appelsIDORInjection de promptInjection SQLKEVNIS2OWASP Top 10RCESASTSBOMSCASSRFTyposquattingVulnérabilité de fusionZero-day
Analyse d’atteignabilitéSupply chain feed →
Déterminer si une fonction vulnérable d’une dépendance est réellement appelée par votre code. Une CVE dans un paquet que vous importez mais n’exercez jamais sur un chemin vulnérable est bien moins prioritaire. L’atteignabilité réduit drastiquement le bruit des dépendances en séparant « présent » de « exploitable ».
Attaque de la chaîne d’approvisionnementSupply chain feed →
Compromettre un logiciel en attaquant ce dont il dépend — un paquet npm populaire, un outil de build, un runner CI — plutôt que la cible directement. Une seule dépendance empoisonnée atteint chaque projet qui l’installe, ce qui explique pourquoi des incidents comme event-stream, SolarWinds et la backdoor xz ont été si dévastateurs.
Bug de logique & d’exactitudeAppSec feed →
Un bug où le code s’exécute mais fait la mauvaise chose — pas une faille exploitable, mais l’erreur honnête d’un ingénieur rigoureux. Des ID entiers approchant la limite de leur type à grande échelle, de l’argent géré en flottant (0,1 + 0,2 ≠ 0,3), des limites off-by-one, des invariants cassés, des cas limites non traités. Rarement exploitable, mais une cause majeure de pannes, de corruption de données et d’incidents coûteux — la raison d’être de l’industrie de l’audit de sécurité. L’audit profond adverse de Stateward les traque en raisonnant sur ce que chaque fonction doit garantir et en tentant de le casser, pas en faisant correspondre des CVE connues.
Confusion de dépendancesSupply chain feed →
Tromper un gestionnaire de paquets pour qu’il tire un paquet public au lieu de votre paquet privé, en publiant un numéro de version supérieur sous le même nom sur un registre public. Cela permet à un attaquant d’injecter du code dans les builds internes ; le correctif passe par des registres à portée (scoped) et un épinglage explicite des sources.
CVE (Common Vulnerabilities and Exposures)
Un identifiant unique pour une vulnérabilité publiquement divulguée dans un produit ou une bibliothèque précis, par exemple CVE-2021-44228 (Log4Shell). Les CVE sont la langue commune de la gestion des vulnérabilités — votre outil SCA confronte vos dépendances à la base CVE.
CVSS (système commun de notation des vulnérabilités)
Un score de 0 à 10 pour la gravité d’une vulnérabilité, basé sur l’exploitabilité et l’impact. Utile pour classer, mais aveugle au contexte : un 9,8 dans un paquet que vous n’atteignez pas compte moins qu’un 6,5 sur votre chemin d’authentification. Couplez le CVSS à l’atteignabilité et au statut d’exploitation (KEV) pour prioriser honnêtement.
CWE (Common Weakness Enumeration)
Un catalogue communautaire de types de faiblesses logicielles, chacun avec un identifiant comme CWE-89 (injection SQL) ou CWE-79 (cross-site scripting). Le CWE classe le type de faille ; la CVE identifie un produit vulnérable précis. Les findings mappés au CWE sont plus faciles à trier, dédupliquer et transformer en preuves de conformité.
Cyber Resilience Act européen (CRA)
Un règlement européen fixant des exigences de cybersécurité pour les produits comportant des éléments numériques tout au long de leur cycle de vie, dont la gestion des vulnérabilités et une SBOM. Il fait passer le « secure by design » de bonne pratique à obligation légale pour les produits vendus dans l’UE.
Détection de secretsSecrets feed →
Détecter les identifiants — clés API, jetons, clés privées, URL de bases de données — commités dans le contrôle de version. Le correctif n’est jamais juste de supprimer la ligne : un secret fuité dans l’historique git est compromis et doit être renouvelé. Stateward scanne chaque diff au commit, avant que le secret n’atteigne une branche partagée.
DORA (Digital Operational Resilience Act)
Un règlement européen pour le secteur financier couvrant le risque informatique, le risque tiers et la résilience opérationnelle. Comme NIS2, il exige une posture de sécurité démontrable et continue plutôt que des audits ponctuels — exactement les preuves prêtes pour l’audit que Stateward génère à chaque pull request.
Exposition de source maps (divulgation de source map)AppSec feed →
Livrer une source map JavaScript (.map) en production, ou dans un paquet publié, de sorte que n’importe qui puisse télécharger votre code source original. Les bundlers intègrent tout le code dans le champ sourcesContent de la map, donc une map exposée fuit le code non minifié, les commentaires internes, les endpoints d’API cachés et tout secret compilé — le front-end de l’App Store d’Apple et Claude Code d’Anthropic en ont livré une par accident. Stateward le détecte (CWE-540) dans la pull request : un artefact .map commité, un sourceMappingURL laissé dans un bundle livré, ou une config de build qui émet des maps de production (Vite, webpack, Next.js, Create React App, Vue, Rollup) — pour que cela n’atteigne jamais la production.
Faux positif
Un finding qu’un outil signale mais qui n’est pas réellement exploitable dans votre contexte. Les taux élevés de faux positifs sont la raison principale pour laquelle les équipes ignorent les outils de sécurité. Stateward les réduit en validant les findings contre le graphe d’appels réel et l’atteignabilité, et en réfutant les candidats de façon adverse avant de rendre un verdict.
Graphe d’appels
Un modèle de quelles fonctions appellent quelles autres dans tout votre code. C’est ce qui permet à un outil de suivre une donnée depuis une entrée non fiable (un paramètre de requête) jusqu’à un sink dangereux (une requête de base de données ou une commande shell) même quand ils vivent dans des fichiers différents. Stateward en construit un dans le cadre de sa base de connaissances sur tout le code.
IDOR (référence directe d’objet non sécurisée)AppSec feed →
Exposer une référence à un objet interne — un id de base de données dans une URL — sans vérifier que l’utilisateur courant a le droit d’y accéder, si bien que changer /invoice/123 en /invoice/124 fuit les données d’autrui. C’est une forme de contrôle d’accès cassé, le premier risque OWASP, et l’autorisation doit être vérifiée côté serveur à chaque requête.
Injection de promptAI/LLM feed →
Manipuler une application pilotée par LLM en glissant des instructions dans son entrée — directement, ou indirectement via du contenu que le modèle lit ensuite (une page web, un document, un résultat d’outil). C’est la classe de vulnérabilité emblématique des applications IA, sans correctif unique ; on la contient par moindre privilège, validation des sorties et approbation humaine pour les actions sensibles.
Injection SQLAppSec feed →
Insérer une entrée contrôlée par l’attaquant dans une requête de base de données pour en changer le sens, permettant de lire, modifier ou détruire des données. Le correctif, ce sont les requêtes paramétrées (paramètres liés), jamais la concaténation de chaînes. C’est le CWE-89, un classique de l’OWASP Top 10.
KEV (vulnérabilités exploitées connues)Known-exploited feed →
La liste de référence de la CISA des vulnérabilités activement exploitées dans la nature. Une entrée KEV signifie que des attaquants l’utilisent en ce moment, elle passe donc devant dans la file de correctifs quel que soit son score CVSS. Le flux en direct de Stateward fait remonter les entrées KEV dès leur publication.
NIS2
Une directive européenne (2022) qui élargit les obligations de cybersécurité aux entités essentielles et importantes, avec des exigences de gestion des risques, de sécurité de la chaîne d’approvisionnement et de notification d’incidents. Elle relève le niveau de preuve attendu en sécurité logicielle ; Stateward y mappe les findings et garde les données hébergées en UE via Citadea.
OWASP Top 10AppSec feed →
La liste classée des dix risques les plus critiques des applications web, par l’Open Worldwide Application Security Project — contrôle d’accès cassé, injection, défaillances cryptographiques, etc. C’est la checklist de référence des auditeurs et des cadres ; Stateward mappe chaque finding à sa catégorie OWASP.
RCE (exécution de code à distance)
Une vulnérabilité qui permet à un attaquant d’exécuter du code arbitraire sur votre serveur ou la machine d’un utilisateur — l’issue la plus grave, car elle signifie généralement une compromission totale. Elle arrive souvent via une désérialisation non sûre, une injection de commande ou une dépendance vulnérable comme Log4Shell.
SAST (test statique de sécurité applicative)AppSec feed →
Analyse du code source, sans l’exécuter, pour trouver des failles comme l’injection, le contrôle d’accès cassé ou la désérialisation non sûre. Le SAST classique travaille sur un seul fichier ou diff ; Stateward raisonne sur tout le code — son graphe d’appels et ses frontières de confiance — pour attraper les failles qui n’apparaissent qu’entre fichiers ou branches.
SBOM (nomenclature logicielle)Supply chain feed →
Un inventaire lisible par machine de chaque composant et dépendance d’un logiciel, y compris transitifs. Des réglementations comme le décret américain 14028 et le Cyber Resilience Act européen l’exigent de plus en plus, car on ne peut pas défendre une chaîne d’approvisionnement qu’on ne peut pas énumérer.
SCA (analyse de composition logicielle)Supply chain feed →
Inventorier vos dépendances open source et les confronter aux vulnérabilités connues (CVE), au risque de licence et au risque de mainteneur. Une bonne SCA correspond à la version exacte installée et vous dit si le code vulnérable est réellement atteignable, au lieu d’alerter sur chaque paquet transitif.
SSRF (falsification de requête côté serveur)AppSec feed →
Amener un serveur à émettre des requêtes pour le compte de l’attaquant — souvent vers des services internes ou des endpoints de métadonnées cloud qu’il n’exposerait jamais à l’extérieur. La SSRF était au cœur de la fuite Capital One. Les défenses incluent l’allowlisting des destinations et le blocage des plages d’adresses link-local et internes.
TyposquattingSupply chain feed →
Publier un paquet malveillant sous un nom ressemblant à un nom populaire (reqeusts vs requests, lodahs vs lodash) pour piéger les fautes de frappe et les copier-coller. Le malware s’exécute généralement à l’installation. Stateward signale les dépendances dont le nom est suspicieusement proche de paquets connus.
Vulnérabilité de fusionAppSec feed →
Une faille qui n’existe dans aucune branche seule mais apparaît une fois deux branches fusionnées — par exemple une branche retire une validation dont une autre branche commence à dépendre. Les scanners limités au diff la manquent car chaque diff paraît sûr. Stateward analyse le résultat fusionné par rapport à tout le code, là où elle apparaît.
Zero-day (faille du jour zéro)Known-exploited feed →
Une vulnérabilité exploitée avant que l’éditeur n’ait un correctif — les défenseurs ont « zéro jour » pour la corriger. Les zero-days expliquent pourquoi un flux en direct des failles exploitées compte : la fenêtre entre divulgation et militarisation se compte souvent en heures.

Voyez ces failles détectées sur une vraie pull request

Voir un exempleVoir le flux de menaces →