StatewardStateward
Le fossé défensif

La branche A est sûre. La branche B est sûre.
La fusion ne l’est pas.

Les pires vulnérabilités ne vivent pas dans une seule pull request. Elles apparaissent quand deux branches sûres indépendamment fusionnent — et tous les scanners de diff du marché analysent une PR à la fois, donc aucun ne peut la voir. C’est la seule chose que Stateward fait et que personne d’autre ne fait.

Protéger mon dépôtToutes les protections
Un exemple concret

Une SSRF qui n’existe qu’après la fusion

Branche A — feature/url-forwarder

Ajoute un handler qui transmet une URL fournie par l’utilisateur au client HTTP interne. Aucun sink atteignable pour l’instant — sûre seule.

app.post('/fetch', (req) =>
  http.get(req.body.url)) // forwards user URL
Branche B — refactor/http-client

Refactore le client HTTP pour suivre les redirections et retire la liste d’autorisation d’hôtes. Aucun appelant ne passe d’entrée utilisateur pour l’instant — sûre seule.

function get(url) {
  // allowlist removed, redirects on
  return fetch(url, { redirect: 'follow' })
}
N’importe quel scanner de diff, sur la fusion

Rien à signaler ✓

Chaque PR analysée isolément. Rien à signaler.

Stateward, sur la fusion virtuelle

SSRF 🔴

L’URL utilisateur de A atteint maintenant le client sans liste d’autorisation de B. Signalée, attribuée aux deux branches, et confirmée par un audit complet de l’état fusionné — verdict : REJET.

Reproduit de bout en bout dans notre suite de tests (le dépôt de démo housing-calculator), hors ligne.

01

Base de connaissances

Un modèle de tout votre code — graphe d’appels, frontières de confiance, atteignabilité des dépendances — maintenu à chaud entre les PR.

02

Fusion virtuelle

Le graphe fusionné prévu est calculé à partir de la base et des changements de chaque branche, sans fusionner réellement.

03

Confirmer & attribuer

Un audit adverse complet s’exécute sur l’état fusionné pour confirmer la faille, attribuée aux deux branches contributrices.

L’analyse inter-branches et l’audit sur tout le code constituent la couche de raisonnement profond de Stateward, validée sur notre suite d’évaluation annotée. Comme le reste du produit, elle se déploie en bêta privée dès maintenant.

Conçu pour mériter votre confiance

Lecture seule & éphémère

Stateward commente, sans jamais pousser, fusionner ou stocker vos clés.

Hébergement souverain UE

Code et données restent hébergés en UE via Citadea — pensé pour NIS2, DORA et le CRA.

Conscient de tout le code

Raisonne sur le graphe d’appels et les frontières de confiance, pas seulement le diff.

Stateward est en bêta et recrute des partenaires de conception. Conçu par Yggdrasil Digital.

Commencer gratuitementRéserver une démo