Passer au contenu principal
Centre de sécurité du Project affichant les résultats d'analyse de sécurité par Agent, avec des vulnérabilités classées par gravité

Qu’est-ce que le Centre de sécurité du Project ?

Le Centre de sécurité du Project est le hub central de votre projet pour trouver et corriger les vulnérabilités de sécurité et de confidentialité avant de publier. Ouvrez le volet Security dans votre Project pour voir un résumé de tous les problèmes connus dans votre base de code — c’est ici que vous lancez les analyses de sécurité de votre application. Le Centre de sécurité du Project prend en charge deux types d’analyses :
  • Analyses automatiques des dépendances — analyses gratuites et légères qui vérifient les packages de votre projet par rapport aux bases de données de vulnérabilités connues
  • Revues de sécurité par Agent — revues complètes basées sur l’IA qui combinent des LLM avec des outils d’analyse de code statique déterministes pour auditer l’ensemble de votre base de code
Les deux types d’analyses affichent leurs résultats dans le même volet Security, organisés par gravité pour vous permettre de vous concentrer en premier sur les problèmes les plus importants.

Comprendre les résultats d’analyse

Les résultats des deux types d’analyses apparaissent dans le volet Security, classés par niveau de gravité :
  • Critique : Vulnérabilités qui présentent un risque immédiat et doivent être corrigées avant la publication. Par exemple : exécution de code à distance, injection SQL dans des points de terminaison exposés, et identifiants divulgués.
  • Élevée : Problèmes sérieux exploitables sous certaines conditions, comme le cross-site scripting (XSS), les flux d’authentification non sécurisés ou les dépendances non corrigées avec des exploits connus.
  • Moyenne : Problèmes qui représentent un risque potentiel mais sont moins susceptibles d’être exploités, comme des en-têtes de sécurité manquants ou des configurations CORS trop permissives.
  • Faible / Informationnelle : Problèmes mineurs ou recommandations de bonnes pratiques, comme l’utilisation d’API obsolètes ou des messages d’erreur verbeux en production.

Analyses automatiques des dépendances

Les analyses automatiques des dépendances vérifient les packages dont dépend votre projet par rapport aux bases de données de vulnérabilités connues. Ces analyses sont gratuites et s’exécutent automatiquement. L’analyse des dépendances prend en charge Node.js/npm, Python, Go, Rust, PHP et Ruby. Par exemple, une analyse peut signaler une vulnérabilité connue dans un package obsolète comme express@4.18.2. Certains problèmes de dépendances peuvent être mis à jour automatiquement, tandis que d’autres peuvent nécessiter des modifications manuelles ou ne pas avoir de correctif disponible.

Revues de sécurité par Agent

Les revues de sécurité par Agent vont au-delà des vérifications des dépendances pour effectuer un audit complet de l’ensemble de votre base de code. Security Agent utilise des LLM en parallèle avec des outils d’analyse de code statique déterministes comme Semgrep et HoundDog.ai pour trouver des vulnérabilités que la correspondance de modèles seule manquerait.
Les revues de sécurité par Agent sont disponibles pour tous les utilisateurs payants de Replit. Pour les projets plus importants, un audit approfondi peut prendre jusqu’à 15 minutes pour garantir une évaluation complète.

Ce que fait Security Agent

Lorsque vous démarrez une revue de sécurité par Agent, Security Agent effectue une revue complète de votre base de code :
  1. Cartographie votre architecture — identifie les routes, les API, les flux de données et les points d’entrée
  2. Construit un modèle de menaces — crée un plan de modélisation des menaces personnalisable pour votre application
  3. Exécute une analyse statique — utilise Semgrep et HoundDog.ai pour analyser les vulnérabilités au niveau du code et les problèmes de confidentialité
  4. Analyse les résultats avec l’IA — évalue si les problèmes signalés sont réellement exploitables dans le contexte de votre application, réduisant considérablement les faux positifs
  5. Génère un rapport de résultats — présente les risques identifiés pour votre examen
Les revues de sécurité par Agent couvrent un large éventail de catégories de vulnérabilités :
  • Problèmes d’analyse statique (SAST) : Modèles de code non sécurisés comme l’injection SQL, les scripts intersites (XSS) et la falsification de requêtes intersites (CSRF)
  • Problèmes de confidentialité : Données sensibles circulant vers des cibles risquées telles que les journaux, les fichiers ou les API tierces
  • Vulnérabilités architecturales : Failles de sécurité dans la structure de vos routes, API et flux de données
Par exemple, la revue peut signaler une requête de base de données non paramétrée : 
const query = `SELECT * FROM users WHERE username = '${userInput}'`;
Ou du code qui enregistre des données utilisateur sensibles : 
logger.info("New signup", {
  email: user.email,
  phoneNumber: user.phoneNumber,
  address: user.address,
});

Démarrer une revue de sécurité par Agent

1
Ouvrez le volet Security dans votre Project pour lancer le Centre de sécurité du Project.
2
Sélectionnez Run Scan with Agent.
3
Personnalisez éventuellement l’invite de modélisation des menaces pour vous concentrer sur des zones spécifiques de votre application.
4
Attendez que la revue soit terminée. Cela prend généralement quelques minutes, mais peut prendre jusqu’à 15 minutes pour les projets plus importants.
Une fois la revue terminée, Security Agent génère un rapport des risques identifiés. Vous pouvez examiner les détails des vulnérabilités, ignorer les résultats que vous comprenez et êtes prêt à accepter, ou réviser les résultats avant de les envoyer pour remédiation. Une fois que vous avez examiné les résultats, transmettez les problèmes acceptés à Replit Agent pour la remédiation. Security Agent organise automatiquement les vulnérabilités en tâches séparées, permettant à Replit Agent de corriger plusieurs problèmes en parallèle. Après l’application des correctifs, lancez une nouvelle analyse pour confirmer que les problèmes sont résolus.

Limitations et bonnes pratiques

  • Confidentialité et traitement des données : Toutes les analyses s’exécutent sur l’infrastructure de Replit. Votre code et vos données ne sont pas envoyés à Semgrep, HoundDog.ai ou à d’autres tiers. La configuration des analyses et les résultats restent associés à votre Replit App.
  • Prise en charge des langages :
    • L’analyse des dépendances prend en charge de nombreux écosystèmes populaires (notamment Node.js/npm, Python, Go, Rust, PHP et Ruby).
    • La correction automatique des dépendances est actuellement axée sur Node.js/npm.
  • Pas une revue de sécurité complète : Utilisez les analyses en complément de la revue de code, des tests et des vérifications de l’application en production.
  • Relancer après les modifications : Exécutez une nouvelle analyse après :
    • L’ajout ou la mise à jour de dépendances
    • Des modifications importantes du code
    • Avant de publier une nouvelle version
Pour de meilleurs résultats, intégrez le Centre de sécurité du Project à votre flux de développement normal, plutôt qu’à une vérification ponctuelle. Lancez une revue de sécurité par Agent chaque fois que vous publiez des modifications importantes dans votre application.

Étapes suivantes

  • En savoir plus sur Publishing et comment publier votre Replit App une fois les analyses propres.
  • Explorez Replit Agent pour corriger les problèmes de sécurité et de confidentialité directement depuis votre Workspace.
  • Lisez How Replit Secures AI-Generated Code pour en savoir plus sur l’approche de Replit en matière de sécurité.
  • Consultez les Fonctionnalités de l’éditeur pour d’autres outils permettant d’améliorer la qualité du code, les performances et la fiabilité.