Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://docs.replit.com/llms.txt

Use this file to discover all available pages before exploring further.

Centre de sécurité du projet affichant les résultats d'analyse de sécurité Agent avec les vulnérabilités catégorisées par sévérité
Vous débutez avec la sécurité des dépendances ? Consultez les Concepts de sécurité pour les définitions de CVE, SBOM, exposition, Corriger avec Agent, Republier et Auto-Protect.

Comment les résultats sont catégorisés

Les résultats des deux types d’analyse apparaissent dans le volet Sécurité, catégorisés par niveau de sévérité :
  • Critique : Vulnérabilités qui présentent un risque immédiat et doivent être corrigées avant la publication. Les exemples incluent l’exécution de code à distance, l’injection SQL dans des points d’entrée exposés et des identifiants compromis.
  • Élevé : Problèmes sérieux pouvant être exploités dans certaines conditions, tels que les scripts intersites (XSS), les flux d’authentification non sécurisés ou les dépendances non corrigées avec des exploits connus.
  • Moyen : Problèmes représentant un risque potentiel mais moins susceptibles d’être exploitables, tels que les en-têtes de sécurité manquants ou les configurations CORS trop permissives.
  • Faible / Informatif : Problèmes mineurs ou recommandations de bonnes pratiques, tels que l’utilisation d’API obsolètes ou des messages d’erreur trop détaillés en production.

Qu’est-ce que le Centre de sécurité du projet ?

Le Centre de sécurité du projet est le hub central de votre projet pour trouver et corriger les vulnérabilités de sécurité et de confidentialité avant de publier. Ouvrez le volet Sécurité dans votre projet pour exécuter des analyses, examiner les résultats et envoyer les problèmes acceptés à Agent pour remédiation. Le Centre de sécurité du projet prend en charge deux types d’analyses :
  1. Analyses automatiques des dépendances : Analyses gratuites et légères qui vérifient les packages du projet par rapport aux registres de vulnérabilités publiques
  2. Analyses de sécurité Agent : Révisions assistées par IA qui combinent l’analyse de modèle avec des outils d’analyse statique du code pour auditer l’intégralité de votre base de code
Les deux types d’analyse font apparaître les résultats dans le même volet Sécurité, organisés par sévérité afin que vous puissiez vous concentrer sur les problèmes les plus importants en premier.

Analyses automatiques des dépendances

Les analyses automatiques des dépendances vérifient les packages dont dépend votre projet par rapport aux registres de vulnérabilités publiques. Ces analyses sont gratuites et s’exécutent automatiquement. Lorsqu’une nouvelle entrée CVE (Common Vulnerabilities and Exposures) est divulguée, Replit la vérifie par rapport aux dépendances de votre projet et fait apparaître toute correspondance dans le volet Sécurité — aucune nouvelle analyse manuelle n’est nécessaire. L’analyse des dépendances prend en charge Node.js/npm, Python, Go, Rust, PHP et Ruby. Par exemple, une analyse peut signaler une vulnérabilité connue dans un package obsolète comme express@4.18.2.
Le bouton Tout corriger avec Agent sur la carte d'analyses automatiques des dépendances dans le Centre de sécurité du projet

Auto-Protect

Auto-Protect étend l’analyse automatique des dépendances. Lorsqu’une vulnérabilité correspondante est détectée, Replit Agent prépare et teste un correctif et vous envoie un lien direct par e-mail. Auto-Protect couvre uniquement les CVE de dépendances — pour les vulnérabilités dans le code de votre application, utilisez les analyses de sécurité Agent. Pour chaque nouvelle vulnérabilité correspondant aux dépendances de votre projet, Replit :
  1. Vous envoie un résumé par e-mail avec un lien direct vers le volet Sécurité du projet affecté.
  2. Demande à Replit Agent de préparer et tester un correctif qui résout la vulnérabilité.
  3. Laisse le correctif en attente de votre révision dans le volet Sécurité.
Sélectionnez Aller à la tâche pour inspecter les modifications générées avant de les appliquer. Après avoir appliqué le correctif, la vulnérabilité s’affiche comme en attente de republication jusqu’à ce que vous publiiez une nouvelle version. Republiez toujours après avoir appliqué un correctif pour vous assurer que votre application en production est sécurisée. Replit envoie au maximum un e-mail par espace de travail pour chaque nouvelle vulnérabilité. L’e-mail résume tous les projets affectés dans cet espace de travail. Les administrateurs peuvent définir la sévérité minimale qui déclenche Auto-Protect — par exemple, critique uniquement.

Activer Auto-Protect

Les deux paramètres Auto-Protect sont désactivés par défaut. L’activation d’Auto-Protect nécessite deux paramètres : un paramètre réservé aux administrateurs qui autorise Replit à préparer des correctifs, et un paramètre personnel qui contrôle si vous recevez des e-mails sur les nouvelles vulnérabilités.
1

Activer la préparation des correctifs (administrateurs uniquement)

Accédez à Paramètres > Compte > Avancé et sélectionnez la sévérité minimale (faible, moyen, élevé ou critique) à laquelle Replit doit automatiquement préparer des remédiations. Définir un seuil plus élevé signifie que Replit ne prépare des correctifs que pour les vulnérabilités les plus graves.
2

Activer les e-mails de sécurité

Accédez à Paramètres > Personnalisation > Notifications par e-mail et sélectionnez la sévérité minimale à laquelle vous souhaitez être notifié des nouveaux problèmes de sécurité. Élevé ou critique est typique.
Les remédiations préparées par Agent sont facturées comme n’importe quel autre travail Agent, même lorsqu’elles sont préparées de manière proactive par Auto-Protect.

Analyses de sécurité Agent

Les analyses de sécurité Agent vont au-delà des vérifications de dépendances pour effectuer un audit complet de l’intégralité de votre base de code. Security Agent combine la révision basée sur des modèles avec des outils d’analyse statique comme Semgrep et HoundDog.ai pour trouver des vulnérabilités que la correspondance de modèles seule manquerait. Les analyses de sécurité Agent sont disponibles pour tous les développeurs Replit payants. Pour les projets plus importants, un audit approfondi peut prendre jusqu’à 15 minutes pour garantir une évaluation complète.

Ce que fait Security Agent

Lorsque vous lancez une analyse de sécurité Agent, Security Agent effectue une révision complète de votre base de code :
  1. Cartographie votre architecture — identifie les routes, les API, les flux de données et les points d’entrée
  2. Construit un modèle de menace — crée un plan de modélisation des menaces personnalisable pour votre application
  3. Exécute une analyse statique — utilise Semgrep et HoundDog.ai pour analyser les vulnérabilités au niveau du code et les problèmes de confidentialité
  4. Analyse les résultats avec l’IA — évalue si les problèmes signalés sont réellement exploitables dans le contexte de votre application, réduisant considérablement les faux positifs
  5. Génère un rapport de résultats — présente les risques identifiés pour votre révision
Les analyses de sécurité Agent couvrent un large éventail de catégories de vulnérabilités :
  • Problèmes d’analyse statique (SAST) : Modèles de code non sécurisés tels que l’injection SQL, les scripts intersites (XSS) et la falsification de requêtes intersites (CSRF)
  • Problèmes de confidentialité : Données sensibles transitant vers des puits risqués comme les journaux, les fichiers ou les API tierces
  • Vulnérabilités architecturales : Failles de sécurité dans la façon dont vos routes, API et flux de données sont structurés
Par exemple, la révision peut signaler une requête de base de données non paramétrée : 
const query = `SELECT * FROM users WHERE username = '${userInput}'`;
Ou du code qui enregistre des données utilisateur sensibles : 
logger.info("New signup", {
  email: user.email,
  phoneNumber: user.phoneNumber,
  address: user.address,
});

Lancer une analyse de sécurité Agent

1
Ouvrez le volet Sécurité dans votre projet pour lancer le Centre de sécurité du projet.
Le bouton Réviser la sécurité dans le flux de publication du projet, qui ouvre le volet Sécurité
2
Sélectionnez Lancer une analyse avec Agent.
Le bouton Lancer une analyse avec Agent mis en évidence dans le Centre de sécurité du projet
3
Personnalisez éventuellement l’invite de modélisation des menaces pour vous concentrer sur des zones spécifiques de votre application.
La fenêtre contextuelle des options d'analyse avec un champ Ajouter du contexte pour restreindre l'analyse à des zones spécifiques du projet
4
Attendez que la révision se termine. Cela prend généralement quelques minutes, mais peut prendre jusqu’à 15 minutes pour les projets plus importants.
Une fois la révision terminée, Security Agent génère un rapport des risques identifiés. Vous pouvez examiner les détails des vulnérabilités, ignorer les résultats que vous comprenez et êtes prêt à accepter, ou réviser les résultats avant de les envoyer pour remédiation. Après avoir examiné les résultats, envoyez les problèmes acceptés à Replit Agent pour remédiation. Security Agent organise les vulnérabilités en tâches séparées afin qu’Agent puisse travailler sur plusieurs corrections en parallèle. Après l’application des corrections, lancez une autre analyse pour confirmer que les problèmes sont résolus. Après avoir corrigé le premier ensemble de résultats, lancez une autre analyse. Les projets plus importants peuvent révéler des problèmes supplémentaires une fois les résultats de sévérité plus élevée résolus.

Limitations et bonnes pratiques

  • Confidentialité et gestion des données : Toutes les analyses s’exécutent sur l’infrastructure Replit. Votre code et vos données ne sont pas envoyés à Semgrep, HoundDog.ai ou à d’autres tiers. La configuration et les résultats des analyses restent attachés à votre Replit App.
  • Prise en charge des langages :
    • L’analyse des dépendances prend en charge de nombreux écosystèmes populaires (notamment Node.js/npm, Python, Go, Rust, PHP et Ruby).
    • La correction automatique des dépendances est actuellement axée sur Node.js/npm.
  • Pas une révision de sécurité complète : Utilisez les analyses en parallèle avec la révision du code, les tests, la révision des dépendances et les vérifications de l’application en production.
  • Relancer après les modifications : Lancez à nouveau une analyse après :
    • L’ajout ou la mise à jour de dépendances
    • Des modifications majeures du code
    • Avant la publication d’une nouvelle version

Vérifications de publication

Le paramètre Bloquer la publication des vulnérabilités critiques se trouve dans les paramètres avancés de l’onglet Déployer (et dans le flux de Redéploiement). Replit exécute toujours une analyse de sécurité avant la publication ; ce basculement détermine ce qui se passe lorsque l’analyse trouve un problème de sévérité critique :
  • Activé — la publication est bloquée jusqu’à ce que le problème soit résolu ou ignoré.
  • Désactivé — la publication se poursuit et le résultat est affiché pour que vous puissiez le réviser.
Activez cette option pour vous assurer que rien de critique n’est déployé sans votre révision. Les organisations sur les abonnements enterprise peuvent exiger ce paramètre pour chaque application.
Ce paramètre s’appelait auparavant « Analyse de sécurité avant la publication » et portait une étiquette Bêta. Il est maintenant hors Bêta et renommé pour clarifier le comportement — l’analyse elle-même s’exécute toujours dans tous les cas.

Prochaines étapes