Aller au contenu principal
own2pwn
Retour à la plateforme AI-Native AppSec

AI-Native SCA

Analyse de composition logicielle, filtrée par l'atteignabilité réelle.

Un scan de dépendances classique vous rend 500 CVE et vous laisse trier. SecAI fait l'inverse : il dresse l'inventaire complet de vos dépendances (SBOM) sur huit écosystèmes, croise chaque paquet avec les advisories d'OSV.dev, puis coupe le bruit avant de remonter quoi que ce soit. Une passe d'atteignabilité vérifie si la fonction vulnérable de l'advisory est vraiment référencée dans votre code : absente de l'index de symboles du SAST, la CVE part en NOT_CALLED sans même consulter l'IA ; présente, un modèle juge si une référence est sur un vrai chemin d'exécution. Ce qui reste est priorisé par exploitabilité réelle, avec le risque de licences, et corrélé au SAST à suivi de taint, à l'IaC et aux secrets dans un seul scan. Conçu par un pentester certifié OSWE, hébergé dans l’UE. Facette de la plateforme SecAI, en pré-lancement : on ne décrit ici que ce qui tourne déjà.

Reachability
On ne remonte que les CVE de dépendances réellement atteignables depuis votre code
SBOM, 8 écosystèmes
PyPI, npm, Go, Maven, RubyGems, PHP, Rust, NuGet, transitives comprises
Hébergé dans l’UE
RGPD, droit européen, zéro entraînement sur votre code

Fonctionnalités

Tout ce qu'il faut pour sécuriser, sans le superflu.

Inventaire complet des dépendances (SBOM)

SecAI découvre vos lock files sur huit écosystèmes (PyPI, npm, Go, Maven, RubyGems, Packagist/PHP, crates/Rust, NuGet) et reconstruit l'arbre réel de vos dépendances, directes et transitives. Vous obtenez un SBOM exploitable avec la provenance de chaque paquet : quelle version résolue, tirée par quoi, sur quelle chaîne (A vers B vers X). La faille est le plus souvent trois niveaux plus bas que ce que vous croyez, dans un paquet que vous n'avez jamais installé à la main.

Advisories OSV.dev croisés en continu

Chaque paquet et chaque version résolue sont confrontés aux advisories publiés sur OSV.dev (Open Source Vulnerabilities). Le croisement tourne à chaque push, chaque pull request et sur planning cron, donc une vulnérabilité divulguée hier remonte sur votre code d'aujourd'hui sans que vous relanciez quoi que ce soit. Chaque finding de base pointe le paquet, la version affectée et la version qui corrige, en confiance basse tant que l'atteignabilité n'a pas tranché.

Filtrage par atteignabilité, en deux temps

Le cœur du produit. D'abord une porte déterministe : SecAI regarde si les fonctions vulnérables listées par l'advisory sont référencées dans votre dépôt, via l'index de symboles produit par le SAST. Absentes de l'index, la CVE part en NOT_CALLED et sort sans consommer d'IA. Présentes, ou sans index disponible, elle devient candidate : une recherche textuelle des symboles vulnérables (plafonnée à vingt occurrences) alimente un modèle qui juge si une référence est sur un vrai chemin d'exécution, de l'entrypoint jusqu'à la fonction fautive. La confiance est réévaluée, le site d'invocation gardé comme preuve. Atteignabilité mappée pour sept langages.

Comment ça marche

Du setup à la première alerte.

  1. 01

    1. Vous connectez votre dépôt

    GitHub via la GitHub App, GitLab via OAuth ou jeton. Accès en lecture seule, scope limité aux dépôts que vous cochez. SecAI lit vos manifestes et vos lock files, pas de fork ni de commit poussé dans votre code sans votre action. Chiffrement au repos, suppression des données sur demande.

  2. 02

    2. SecAI construit le SBOM et croise OSV.dev

    Découverte des lock files sur huit écosystèmes, résolution de l'arbre complet, directes et transitives, avec les versions réellement installées et leur provenance. Chaque paquet et chaque version sont confrontés aux advisories d'OSV.dev. À ce stade vous avez déjà l'inventaire, les licences et la liste brute des vulnérabilités connues en confiance basse, avec la version qui corrige.

  3. 03

    3. La passe d'atteignabilité coupe le bruit

    Deux temps. Porte déterministe d'abord : si les fonctions vulnérables de l'advisory ne sont pas dans l'index de symboles produit par le SAST, la CVE est classée NOT_CALLED sans appel au modèle. Sinon, une recherche textuelle des symboles (plafonnée à vingt occurrences) alimente un modèle qui juge le chemin d'exécution. Sans run SAST, donc sans index, les candidats partent directement au modèle : l'atteignabilité reste calculée, au prix d'un coût IA plus élevé. Un agent relie ensuite ce qui est atteignable au SAST, à l'IaC et aux secrets en chemins d'attaque.

  4. 04

    4. Rapport, SARIF et CI/CD

    Rapport HTML, export SARIF natif pour GitHub Code Scanning, commentaires de PR ou MR, alertes Slack, webhook ou email. La GitHub Action pose un gate de sévérité configurable dans votre pipeline. GitLab, Jenkins et runners self-hosted passent par la CLI secai. La vérification humaine finale reste l'affaire de nos pentests OSWE, une offre séparée.

Bénéfices

L'impact concret pour vos équipes.

01

Arrêter de noyer les devs sous 500 CVE

Un scan de dépendances brut remonte tout ce qui est déclaré vulnérable, atteignable ou non, et l'équipe finit par tout ignorer par lassitude. SecAI inverse le tri : le SBOM sert de base, le croisement OSV.dev identifie les candidats, puis la passe d'atteignabilité écarte d'abord en déterministe celles dont aucune fonction vulnérable n'apparaît dans votre index de symboles, avant de faire trancher l'IA sur ce qui reste. Ce qui remonte est court et défendable, avec le site d'invocation comme preuve. Vos développeurs arrêtent de fermer des tickets en won't fix et corrigent ce qui compte vraiment.

02

Le risque des dépendances suivi en continu, pas à date

Une CVE peut tomber n'importe quel jour sur un paquet que vous n'avez pas touché depuis des mois. Un audit humain, c'est une photo à une date ; entre deux missions, votre arbre de dépendances bouge à chaque mise à jour et le paysage des vulnérabilités change tout seul. SecAI recroise votre SBOM avec OSV.dev à chaque commit et sur planning cron, donc une divulgation d'hier remonte sur votre code d'aujourd'hui. La vérification offensive reste le métier de nos pentesters certifiés OSWE, en offre séparée : le SCA bouche le trou entre deux audits.

03

Une seule vue : dépendances, code, infra, secrets

Le risque des dépendances ne vit pas isolé du reste. SecAI corrèle le SCA filtré par atteignabilité avec le SAST contextuel, les misconfigs IaC et les secrets, dans le même scan et le même rapport. Vous voyez la CVE atteignable au bout d'un chemin d'attaque, pas dans un onglet séparé qu'on lit une fois par trimestre. Rapport HTML, export SARIF natif, notifications Slack, webhook ou email : tout sort du même endroit, sans empiler trois outils qui ne se parlent pas.

Pourquoi own2pwn

Ce qu'on fait différemment.

La reachability plutôt que la liste brute

La plupart des outils de SCA remontent toute CVE présente dans l'arbre, atteignable ou non, et laissent l'équipe trier au CVSS. SecAI part de la référence réelle : la dépendance vulnérable compte si ses fonctions fautives apparaissent dans votre code et sur un chemin d'exécution plausible, sinon elle sort du haut de pile dès la porte déterministe. C'est ce filtre en deux temps qui fait la différence entre 500 lignes ignorées et une liste courte qu'on corrige.

Conçu par un pentester OSWE

Le SCA de SecAI ne sort pas d'une équipe data. La logique de priorisation vient de l'exploitation réelle : une dépendance vulnérable ne vaut que si un attaquant peut l'atteindre et l'enchaîner. La certification OSWE porte précisément sur l'exploitation de vulnérabilités applicatives en boîte blanche, exactement là où se joue l'atteignabilité entre votre code et vos dépendances.

L'IA pour trier et corréler, pas pour bavarder

La découverte des lock files, la résolution du SBOM et le croisement OSV.dev sont déterministes, et la porte d'atteignabilité écarte sans IA tout ce que l'index de symboles du SAST ne référence pas. Le modèle n'intervient que sur les références ambiguës, pour juger si elles sont sur un vrai chemin d'exécution, et pour relier la dépendance au reste (code, IaC, secrets). Pas de chatbot, pas de verdict opaque : chaque CVE remontée montre le site d'invocation qui la rend atteignable.

Complémentaire de vos pentests, pas un remplaçant

Le SCA couvre le risque des dépendances en continu, à chaque commit et sur planning cron, pendant que votre arbre de paquets bouge. La validation humaine reste l'affaire de nos pentests, une offre séparée signée par un pentester. Chaque rapport recommande d'ailleurs une revue par un professionnel. On ne vend pas une IA qui remplace l'humain, on vend la continuité entre ses passages.

Des tarifs lisibles, sans surprise.

Starter
0 €
  • 2 dépôts
  • Pré-pass déterministe illimité (SAST, SCA, IaC, secrets)
  • 20 validations IA / mois, jusqu'à 10 scans par jour
  • Scans sur push/PR et planifiés par cron
  • Rapport HTML et export SARIF
  • Support communautaire
Commencer gratuitement
Recommandé
Pro
99 € / mois
  • Dépôts illimités
  • 250 validations IA / mois, jusqu'à 200 scans par jour
  • Vérification par agent LLM et corrélation en chemins d'attaque
  • GitHub App, Action SARIF, gate de sévérité et auto-fix PR/MR
  • Notifications Slack, webhook et email
  • Validation supplémentaire à 0,30 € (pay-as-you-go), jusqu'à 5 utilisateurs
S'abonner
Team
299 € / mois
  • Dépôts illimités
  • 750 validations IA / mois
  • SSO / SAML et RBAC
  • File d'analyse prioritaire
  • Validation supplémentaire à 0,30 € (pay-as-you-go)
  • Jusqu'à 15 utilisateurs
S'abonner
Enterprise
Sur mesure
  • Volume de validations négocié
  • SSO / SAML / SCIM, audit logs
  • Runner auto-hébergé, déploiement dédié
  • SLA renforcé, accompagnement conformité (RGPD, ISO, SOC 2)
  • Couplage avec les pentests et l'EASM own2pwn
Parler à un expert

Questions fréquentes

Ce que vous voulez probablement savoir.

Parlons de votre besoin.

Démo, devis ou question technique : réponse sous 48 h ouvrées.