AI-Native SAST
Le SAST qui comprend le flux de la donnée, pas juste des patterns.
L'analyse statique classique remonte des motifs et vous noie sous les faux positifs. Notre SAST fait autre chose : un moteur déterministe trace le flux de la donnée de la source jusqu'au sink, puis un agent LLM relit le code pour trancher l'exploitabilité et écraser les faux positifs avant qu'ils n'atterrissent dans votre backlog. Chaque finding arrive avec sa chaîne de taint, son explication et une remédiation lisible, dans un rapport éditable. C'est le cœur de la plateforme SecAI, conçu par un pentester certifié OSWE et hébergé dans l’UE. Produit en pré-lancement : on ne décrit ici que ce qui tourne déjà.
- Source vers sink
- Suivi de taint multi-fichiers, pas un motif sur une ligne
- Triage par agent IA
- Les faux positifs sont écartés avant votre backlog
- 14 langages en profondeur
- Sources, sanitizers et sinks, plus 5 en support léger
Fonctionnalités
Tout ce qu'il faut pour sécuriser, sans le superflu.
SAST contextuel à suivi de taint
On remonte le flux de la donnée de la source jusqu'au sink sensible, à travers les fonctions et les fichiers, pas juste un motif sur une ligne. Chaque finding affiche sa chaîne source vers sanitizer vers sink, pour voir pourquoi c'est flaggé. Profondeur réelle sur 14 langages : Python, JS/TS et Java en tête, puis Go, PHP, Ruby, Kotlin, C, C++, C#, Rust, Swift, Scala et Bash.
Vérification par agent, moins de faux positifs
Un pré-pass déterministe (tree-sitter + taint) écarte les cas sans source ou déjà assainis avant tout appel au modèle. Par-dessus, un agent LangGraph relit le code via des outils d'analyse AST pour confirmer ou écarter ce qui reste. Vous triez ce qui compte, pas une décharge d'alertes.
Priorisation par exploitabilité réelle
L'agent tranche l'exploitabilité au lieu de recracher un score CVSS isolé. Un finding atteignable et chaînable remonte en tête, un cas mort ou déjà couvert par un assainissement passe au fond. Vous corrigez ce qu'un attaquant atteint vraiment, pas une liste triée par sévérité théorique.
Explication et remédiation lisibles
Chaque finding vient avec sa chaîne de taint, une explication en clair de la faille et une remédiation concrète. Sur les cas applicables, SecAI peut ouvrir une PR (GitHub) ou une MR (GitLab) qui applique le correctif en place, ou déposer un patch .secai/fixes/. Le fix passe par votre revue habituelle avant merge, rien n'est appliqué dans votre dos.
Branché sur GitHub, SARIF natif
GitHub App plus GitHub Action avec export SARIF, gate de sévérité et commentaire de PR : les findings arrivent là où le code change, pas dans un dashboard lu trop tard. GitLab est supporté comme source (commentaires et ouverture de MR). Jenkins, runners self-hosted et autres CI passent par la CLI secai (sortie SARIF/JSON).
Rapports éditables, en continu
Rapport HTML éditable, export SARIF serveur et notifications Slack, webhook ou email à chaque scan. L'analyse tourne sur push, PR et sur planning cron, donc la couverture statique ne s'arrête pas entre deux audits. La validation humaine finale reste le travail de nos pentesters, une offre séparée que SecAI vient prolonger, pas remplacer.
Comment ça marche
Du setup à la première alerte.
- 01
1. Vous connectez votre dépôt
GitHub via la GitHub App, GitLab via OAuth ou jeton. Accès en lecture seule, scope limité aux dépôts que vous cochez. Pas de fork, pas de commit poussé dans votre code sans votre action. Suppression des données sur demande, chiffrement au repos.
- 02
2. Le taint suit vos flux de données
Tree-sitter repère les sinks sensibles, le moteur de taint remonte la chaîne source vers sink, à l'intérieur d'un fichier puis entre fichiers et modules. Le pré-pass déterministe écarte les cas non atteignables ou déjà assainis avant d'appeler le LLM. Chaque finding affiche sa chaîne de taint complète : vous voyez pourquoi c'est flaggé, pas un verdict opaque.
- 03
3. L'agent tranche l'exploitabilité
Un agent LangGraph relit le code autour de chaque candidat avec des outils d'inspection d'AST, confirme les vrais cas, tue les faux positifs et classe ce qui reste par exploitabilité réelle. Le scan tourne à chaque push ou pull request et sur planning cron, donc la couverture statique ne s'arrête pas entre deux pentests.
- 04
4. Rapport, remédiation et CI/CD
Rapport HTML éditable avec explication et remédiation, export SARIF natif pour GitHub Code Scanning, commentaires de PR ou MR, alertes Slack, webhook ou email. La GitHub Action pose un gate de sévérité configurable dans votre pipeline. GitLab, Jenkins et runners self-hosted passent par la CLI secai. La vérification humaine finale reste l'affaire de nos pentests OSWE, une offre séparée.
Bénéfices
L'impact concret pour vos équipes.
Un SAST qui ne noie plus les devs
Le pré-pass tourne d'abord en déterministe : tree-sitter repère les sinks, le moteur de taint remonte la chaîne source vers sanitizer vers sink. Tout ce qui n'a pas de source attaquable ou qui est déjà assaini est écarté avant le moindre appel au modèle. Seuls les cas qui survivent passent au vérificateur LLM, qui les triage pour couper les faux positifs. Vos développeurs voient la chaîne de données complète dans l'interface, pas un verdict opaque, et arrêtent de fermer des tickets en won't fix.
Le contexte décide, pas le pattern
Un SAST par motif ne sait pas si l'entrée est réellement contrôlée par l'attaquant ni si un assainissement la neutralise en chemin : il flagge, vous triez à la main. Ici, l'agent lit le code autour du finding, suit la donnée et tranche l'exploitabilité. Deux lignes identiques donnent deux verdicts différents si le contexte diffère. C'est ça qui fait chuter le bruit : la décision porte sur le flux réel, pas sur une regex.
Du finding au correctif, sans changer d'outil
Chaque finding est prêt à traiter : chaîne de taint visible, explication en clair, remédiation proposée. Quand le correctif est applicable, SecAI ouvre directement une PR ou une MR, sinon dépose un patch. Rapport HTML éditable, export SARIF compatible GitHub Code Scanning, notifications Slack, webhook ou email : tout sort du même endroit, sans empiler trois outils qui ne se parlent pas.
Pourquoi own2pwn
Ce qu'on fait différemment.
L'IA pour trier, pas pour bavarder
Le pré-pass est déterministe : tree-sitter repère les sinks, le moteur de taint remonte le flux de la donnée jusqu'à sa destination. Ce passage ne consomme aucune validation et écarte les cas sans source ou déjà assainis avant tout appel au modèle. Seuls les candidats qui survivent partent au vérificateur LLM, qui tue les faux positifs. Pas de chatbot, pas de verdict opaque : chaque finding affiche sa chaîne de taint, donc la raison du flag.
Priorisé par ce qu'un attaquant atteint
Un SAST utile ne rend pas une liste triée par sévérité théorique. L'agent tranche l'exploitabilité à partir du code : ce qui est atteignable, ce qui est chaînable, ce qui se neutralise en chemin. La hiérarchie part de là, pas d'un CVSS isolé. Vous passez moins de temps à trier et plus à corriger ce qui compte vraiment.
Conçu par un pentester OSWE
Ce SAST ne sort pas d'une équipe data. La logique de détection et de priorisation vient de l'exploitation réelle : ce qu'un attaquant atteint vraiment, ce qui mérite un correctif, ce qui se déduit du code seul. La certification OSWE porte précisément sur l'exploitation de vulnérabilités applicatives en boîte blanche, là où se joue le SAST.
Hébergé dans l’Union européenne
Votre code est stocké dans l’UE (Allemagne), chiffré au repos, avec purge RGPD sur demande. Pour l'analyse, il est envoyé aux modèles Claude d'Anthropic servis via Google Cloud Vertex AI en région européenne : ni Google ni Anthropic n'utilisent vos données pour entraîner leurs modèles. Un RSSI garde une chaîne de traitement claire à documenter, sans revue juridique de trois semaines.
Des tarifs lisibles, sans surprise.
- 2 dépôts
- Pré-pass déterministe illimité (SAST, SCA, IaC, secrets)
- 20 validations IA / mois, jusqu'à 10 scans par jour
- Scans sur push/PR et planifiés par cron
- Rapport HTML et export SARIF
- Support communautaire
- Dépôts illimités
- 250 validations IA / mois, jusqu'à 200 scans par jour
- Vérification par agent LLM et corrélation en chemins d'attaque
- GitHub App, Action SARIF, gate de sévérité et auto-fix PR/MR
- Notifications Slack, webhook et email
- Validation supplémentaire à 0,30 € (pay-as-you-go), jusqu'à 5 utilisateurs
- Dépôts illimités
- 750 validations IA / mois
- SSO / SAML et RBAC
- File d'analyse prioritaire
- Validation supplémentaire à 0,30 € (pay-as-you-go)
- Jusqu'à 15 utilisateurs
- Volume de validations négocié
- SSO / SAML / SCIM, audit logs
- Runner auto-hébergé, déploiement dédié
- SLA renforcé, accompagnement conformité (RGPD, ISO, SOC 2)
- Couplage avec les pentests et l'EASM own2pwn
Questions fréquentes
Ce que vous voulez probablement savoir.
Pour aller plus loin
SAST, DAST, IAST : le comparatif
Trois manières de chasser les failles applicatives, et ce que l'IA change.
Lire →SAST et DAST dans la CI/CD
Le guide DevSecOps pour brancher l'analyse sur le pipeline.
Lire →Vibe coding et sécurité
Coder au feeling avec l'IA : les angles morts de sécurité que ça introduit.
Lire →Parlons de votre besoin.
Démo, devis ou question technique : réponse sous 48 h ouvrées.