Ce contre quoi nous protégeons
Comment Stateward vous protège
Choisissez la menace qui vous préoccupe. Chaque page montre le risque, les incidents réels qu’il a causés, et le détecteur Stateward exact qui l’attrape — dans votre pull request, avant la livraison. Et pas seulement les vulnérabilités exploitables : Stateward attrape aussi les bugs d’exactitude et de sûreté que les ingénieurs rigoureux écrivent — les erreurs honnêtes qui provoquent des pannes, pas des gros titres.
CWE-540 · Divulgation du code sourceExposition de source mapsUne source map JavaScript (.map) livre votre code source original — commentaires, endpoints internes, logique, parfois des secrets — à quiconque peut la récupérer ou ouvrir un paquet publié. Le front-end de l’App Store d’Apple et Claude Code d’Anthropic ont tous deux exposé l’intégralité de leur code de cette façon.Comment on l’attrape Qualité & sûreté du code · Audit profondBugs de logique & d’exactitude écrits par de vrais humainsaudit profondL’essentiel des dégâts n’est pas un exploit — c’est l’erreur honnête d’un ingénieur rigoureux. Une colonne d’ID qui approche discrètement sa limite entière parce que personne n’avait prévu une telle croissance. De l’argent géré en flottants, donc 0,1 + 0,2 dérive d’un centime à la fois. Un off-by-one, un invariant cassé, un cas limite que personne n’a pensé à traiter. Rarement exploitable, mais une cause majeure de pannes, de corruption de données et de réponses à incident coûteuses — c’est précisément pour cela que l’industrie de l’audit existe.Comment on l’attrape CWE-798 · Exposition de secretsSecrets en dur & identifiants exposésClés API, jetons, URL de bases de données et clés privées commités dans le contrôle de version sont récupérés par des scanners automatisés en quelques secondes après un push — et un secret fuité dans l’historique git est compromis même après avoir supprimé la ligne.Comment on l’attrape SCA · Chaîne d’approvisionnementDépendances vulnérables & malveillantesChaque dépendance ajoutée ou mise à jour peut tirer une CVE connue ou une release fraîchement piégée. La plupart des scanners alertent sur chaque paquet transitif, noyant le vrai risque dans le bruit.Comment on l’attrape Chaîne d’approvisionnement · IA-nativeTyposquatting & paquets « slopsquattés »Les attaquants publient des paquets à une frappe d’un nom populaire, et les assistants IA importent avec assurance des dépendances qui n’existent pas — le « slopsquatting » — que les attaquants enregistrent puis arment.Comment on l’attrape CWE-16 · CloudMauvaise configuration de l’infrastructure-as-codeUne seule ligne Terraform ou Kubernetes — une entrée 0.0.0.0/0 ouverte, un bucket public, une politique IAM avec joker, un stockage non chiffré — expose discrètement la production. Cela passe rarement dans une revue de code centrée sur la logique.Comment on l’attrape CWE-1395 · ConteneursImages de conteneurs non sécuriséesUn Dockerfile qui tourne en root, épingle :latest, redirige un script distant vers un shell ou cuit un secret dans une couche livre par défaut une image non sécurisée en production.Comment on l’attrape CWE-94 · PipelineAttaques de pipeline CI/CDUn workflow qui interpole une entrée non fiable dans une étape run, épingle une référence d’action mutable, accorde des permissions trop larges ou expose un secret dans un run est une voie directe vers un build compromis — la façon dont beaucoup d’attaques supply-chain récentes atterrissent réellement.Comment on l’attrape Licence · JuridiqueRisque de licence copyleft & source-availableUne seule nouvelle dépendance sous GPL/AGPL ou une licence source-available (SSPL, BUSL, Elastic, Commons-Clause) peut imposer des obligations à tout votre produit — un problème juridique qui surgit au pire moment.Comment on l’attrape IA-native · Audit profondCode généré par IA non sécuriséaudit profondCopilot, Cursor et Claude écrivent une part croissante du code de production avec moins de revue humaine par ligne — ouvrant des modes de défaillance que les scanners classiques n’ont jamais visés : défauts non sécurisés, configs trop permissives, dépendances hallucinées et surfaces d’injection de prompt.Comment on l’attrape Tout le code · Audit profondVulnérabilités inter-fichiers qu’un scanner de diff ne voit pasaudit profondLes pires failles ne vivent pas dans un seul diff. Une PR ajoute une route anodine en apparence mais qui transmet une entrée utilisateur à un helper non sûr défini dans un fichier que la PR ne touche jamais — invisible pour un scanner ligne par ligne.Comment on l’attrape
Celui que personne d’autre ne voit
Vulnérabilités de fusion
Deux branches, sûres chacune de leur côté, qui créent une nouvelle vulnérabilité au moment de fusionner. Aucun scanner de diff ne la voit — Stateward, si.
Conçu pour mériter votre confiance
Lecture seule & éphémère
Stateward commente, sans jamais pousser, fusionner ou stocker vos clés.
Hébergement souverain UE
Code et données restent hébergés en UE via Citadea — pensé pour NIS2, DORA et le CRA.
Conscient de tout le code
Raisonne sur le graphe d’appels et les frontières de confiance, pas seulement le diff.
Stateward est en bêta et recrute des partenaires de conception. Conçu par Yggdrasil Digital.