Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://docs.replit.com/llms.txt

Use this file to discover all available pages before exploring further.

Centre de sécurité du Project affichant les résultats d'analyse de sécurité par Agent, avec des vulnérabilités classées par gravité

Qu’est-ce que le Centre de sécurité du Project ?

Le Centre de sécurité du Project est le hub central de votre projet pour trouver et corriger les vulnérabilités de sécurité et de confidentialité avant de publier. Ouvrez le volet Security dans votre Project pour voir un résumé de tous les problèmes connus dans votre base de code — c’est ici que vous lancez les analyses de sécurité de votre application. Le Centre de sécurité du Project prend en charge deux types d’analyses :
  • Analyses automatiques des dépendances — analyses gratuites et légères qui vérifient les packages de votre projet par rapport aux bases de données de vulnérabilités connues
  • Revues de sécurité par Agent — revues complètes basées sur l’IA qui combinent des LLM avec des outils d’analyse de code statique déterministes pour auditer l’ensemble de votre base de code
Les deux types d’analyses affichent leurs résultats dans le même volet Security, organisés par gravité pour vous permettre de vous concentrer en premier sur les problèmes les plus importants.

Comprendre les résultats d’analyse

Les résultats des deux types d’analyses apparaissent dans le volet Security, classés par niveau de gravité :
  • Critique : Vulnérabilités qui présentent un risque immédiat et doivent être corrigées avant la publication. Par exemple : exécution de code à distance, injection SQL dans des points de terminaison exposés, et identifiants divulgués.
  • Élevée : Problèmes sérieux exploitables sous certaines conditions, comme le cross-site scripting (XSS), les flux d’authentification non sécurisés ou les dépendances non corrigées avec des exploits connus.
  • Moyenne : Problèmes qui représentent un risque potentiel mais sont moins susceptibles d’être exploités, comme des en-têtes de sécurité manquants ou des configurations CORS trop permissives.
  • Faible / Informationnelle : Problèmes mineurs ou recommandations de bonnes pratiques, comme l’utilisation d’API obsolètes ou des messages d’erreur verbeux en production.

Analyses automatiques des dépendances

Les analyses automatiques des dépendances vérifient les packages dont dépend votre projet par rapport aux bases de données de vulnérabilités connues. Ces analyses sont gratuites et s’exécutent automatiquement. Lorsqu’une nouvelle entrée Common Vulnerabilities and Exposures (CVE) est divulguée, Replit la vérifie par rapport aux dépendances de votre projet et affiche les correspondances dans le volet Security — aucune nouvelle analyse manuelle n’est nécessaire. L’analyse des dépendances prend en charge Node.js/npm, Python, Go, Rust, PHP et Ruby. Par exemple, une analyse peut signaler une vulnérabilité connue dans un package obsolète comme express@4.18.2.

Auto-Protect

L’Auto-Protect étend l’analyse automatique des dépendances. Lorsqu’une vulnérabilité correspondante est détectée, Replit Agent prépare et teste un correctif, puis vous envoie par e-mail un lien direct. L’Auto-Protect couvre uniquement les CVE des dépendances — pour les vulnérabilités dans votre code applicatif, utilisez les revues de sécurité par Agent. Pour chaque nouvelle vulnérabilité correspondant aux dépendances de votre projet, Replit :
  1. Vous envoie par e-mail un résumé avec un lien direct vers le volet Security du projet concerné.
  2. Demande à Replit Agent de préparer et tester un correctif qui résout la vulnérabilité.
  3. Laisse le correctif en attente de votre validation dans le volet Security. Sélectionnez Go to Task pour inspecter le contenu complet avant de l’appliquer. Une fois appliqué, le correctif est fusionné dans la branche principale de votre environnement de prévisualisation et la vulnérabilité s’affiche comme en attente de republication jusqu’à ce que vous publiiez une nouvelle version.
Republiez toujours après avoir appliqué un correctif pour garantir la sécurité de votre application en production. Vous recevrez au maximum un e-mail par espace de travail pour chaque nouvelle vulnérabilité, récapitulant les projets affectés dans l’ensemble de l’espace de travail en un seul endroit. Les administrateurs peuvent filtrer les niveaux de gravité qui déclenchent l’Auto-Protect — définissez un seuil de gravité minimale plus élevé (par exemple, critique uniquement) pour limiter la préparation des correctifs aux vulnérabilités les plus graves.

Activer l’Auto-Protect

Les deux paramètres d’Auto-Protect sont désactivés par défaut. L’activation de l’Auto-Protect nécessite deux paramètres : un paramètre réservé aux administrateurs qui autorise Replit à préparer des correctifs, et un paramètre personnel qui contrôle si vous recevez des e-mails sur les nouvelles vulnérabilités.
1

Activer la préparation des correctifs (administrateurs uniquement)

Accédez à Settings > Account > Advanced et sélectionnez la gravité minimale (faible, moyenne, élevée ou critique) à partir de laquelle Replit doit préparer automatiquement des remédiations. Un seuil plus élevé signifie que Replit ne prépare des correctifs que pour les vulnérabilités les plus graves.
2

Activer les e-mails de sécurité

Accédez à Settings > Personalization > Email Notifications et sélectionnez la gravité minimale à partir de laquelle vous souhaitez être notifié des nouveaux problèmes de sécurité. Élevée ou critique est recommandé.
Les remédiations préparées par Agent sont facturées comme tout autre travail Agent, même lorsqu’elles sont préparées de manière proactive par l’Auto-Protect.

Revues de sécurité par Agent

Les revues de sécurité par Agent vont au-delà des vérifications des dépendances pour effectuer un audit complet de l’ensemble de votre base de code. Security Agent utilise des LLM en parallèle avec des outils d’analyse de code statique déterministes comme Semgrep et HoundDog.ai pour trouver des vulnérabilités que la correspondance de modèles seule manquerait. Les revues de sécurité par Agent sont disponibles pour tous les utilisateurs payants de Replit. Pour les projets plus importants, un audit approfondi peut prendre jusqu’à 15 minutes pour garantir une évaluation complète.

Ce que fait Security Agent

Lorsque vous démarrez une revue de sécurité par Agent, Security Agent effectue une revue complète de votre base de code :
  1. Cartographie votre architecture — identifie les routes, les API, les flux de données et les points d’entrée
  2. Construit un modèle de menaces — crée un plan de modélisation des menaces personnalisable pour votre application
  3. Exécute une analyse statique — utilise Semgrep et HoundDog.ai pour analyser les vulnérabilités au niveau du code et les problèmes de confidentialité
  4. Analyse les résultats avec l’IA — évalue si les problèmes signalés sont réellement exploitables dans le contexte de votre application, réduisant considérablement les faux positifs
  5. Génère un rapport de résultats — présente les risques identifiés pour votre examen
Les revues de sécurité par Agent couvrent un large éventail de catégories de vulnérabilités :
  • Problèmes d’analyse statique (SAST) : Modèles de code non sécurisés comme l’injection SQL, les scripts intersites (XSS) et la falsification de requêtes intersites (CSRF)
  • Problèmes de confidentialité : Données sensibles circulant vers des cibles risquées telles que les journaux, les fichiers ou les API tierces
  • Vulnérabilités architecturales : Failles de sécurité dans la structure de vos routes, API et flux de données
Par exemple, la revue peut signaler une requête de base de données non paramétrée : 
const query = `SELECT * FROM users WHERE username = '${userInput}'`;
Ou du code qui enregistre des données utilisateur sensibles : 
logger.info("New signup", {
  email: user.email,
  phoneNumber: user.phoneNumber,
  address: user.address,
});

Démarrer une revue de sécurité par Agent

1
Ouvrez le volet Security dans votre Project pour lancer le Centre de sécurité du Project.
2
Sélectionnez Run Scan with Agent.
3
Personnalisez éventuellement l’invite de modélisation des menaces pour vous concentrer sur des zones spécifiques de votre application.
4
Attendez que la revue soit terminée. Cela prend généralement quelques minutes, mais peut prendre jusqu’à 15 minutes pour les projets plus importants.
Une fois la revue terminée, Security Agent génère un rapport des risques identifiés. Vous pouvez examiner les détails des vulnérabilités, ignorer les résultats que vous comprenez et êtes prêt à accepter, ou réviser les résultats avant de les envoyer pour remédiation. Une fois que vous avez examiné les résultats, transmettez les problèmes acceptés à Replit Agent pour la remédiation. Security Agent organise automatiquement les vulnérabilités en tâches séparées, permettant à Replit Agent de corriger plusieurs problèmes en parallèle. Après l’application des correctifs, lancez une nouvelle analyse pour confirmer que les problèmes sont résolus. Relancer Security Agent après avoir résolu un premier ensemble de résultats peut parfois révéler des problèmes supplémentaires, en particulier dans les applications plus grandes ou plus complexes. Les résultats de gravité élevée peuvent masquer des cas limites connexes, et les corriger offre aux modèles sous-jacents une vue plus claire de la base de code.

Limitations et bonnes pratiques

  • Confidentialité et traitement des données : Toutes les analyses s’exécutent sur l’infrastructure de Replit. Votre code et vos données ne sont pas envoyés à Semgrep, HoundDog.ai ou à d’autres tiers. La configuration des analyses et les résultats restent associés à votre Replit App.
  • Prise en charge des langages :
    • L’analyse des dépendances prend en charge de nombreux écosystèmes populaires (notamment Node.js/npm, Python, Go, Rust, PHP et Ruby).
    • La correction automatique des dépendances est actuellement axée sur Node.js/npm.
  • Pas une revue de sécurité complète : Utilisez les analyses en complément de la revue de code, des tests et des vérifications de l’application en production.
  • Relancer après les modifications : Exécutez une nouvelle analyse après :
    • L’ajout ou la mise à jour de dépendances
    • Des modifications importantes du code
    • Avant de publier une nouvelle version

Vérifications avant publication

Le paramètre Bloquer la publication en cas de vulnérabilités critiques se trouve dans les paramètres avancés de l’onglet Deploy (et dans le flux de redéploiement). Replit exécute toujours une analyse de sécurité avant la publication ; ce bouton détermine ce qui se passe lorsque l’analyse détecte un problème de gravité critique :
  • Activé — la publication est bloquée jusqu’à ce que le problème soit résolu ou ignoré.
  • Désactivé — la publication se poursuit et le résultat vous est présenté pour révision.
Activez ce paramètre pour vous assurer que rien de critique n’est publié sans votre révision. Les organisations disposant de plans entreprise peuvent rendre ce paramètre obligatoire pour chaque application.
Ce paramètre s’appelait auparavant « Security scan before publishing » et portait un tag Bêta. Il est maintenant sorti de la Bêta et a été renommé pour clarifier son comportement — l’analyse elle-même s’exécute toujours dans tous les cas.

Étapes suivantes

  • En savoir plus sur Publishing et comment publier votre Replit App une fois les analyses propres.
  • Explorez Replit Agent pour corriger les problèmes de sécurité et de confidentialité directement depuis le Project Editor.
  • Lisez How Replit Secures AI-Generated Code pour en savoir plus sur l’approche de Replit en matière de sécurité.
  • Consultez les Fonctionnalités de l’éditeur pour d’autres outils permettant d’améliorer la qualité du code, les performances et la fiabilité.