AI-Native SCA
Analyse de composition logicielle, filtrée par l'atteignabilité réelle.
Un scan de dépendances classique vous rend 500 CVE et vous laisse trier. SecAI fait l'inverse : il dresse l'inventaire complet de vos dépendances (SBOM) sur huit écosystèmes, croise chaque paquet avec les advisories d'OSV.dev, puis coupe le bruit avant de remonter quoi que ce soit. Une passe d'atteignabilité vérifie si la fonction vulnérable de l'advisory est vraiment référencée dans votre code : absente de l'index de symboles du SAST, la CVE part en NOT_CALLED sans même consulter l'IA ; présente, un modèle juge si une référence est sur un vrai chemin d'exécution. Ce qui reste est priorisé par exploitabilité réelle, avec le risque de licences, et corrélé au SAST à suivi de taint, à l'IaC et aux secrets dans un seul scan. Conçu par un pentester certifié OSWE, hébergé dans l’UE. Facette de la plateforme SecAI, en pré-lancement : on ne décrit ici que ce qui tourne déjà.
- Reachability
- On ne remonte que les CVE de dépendances réellement atteignables depuis votre code
- SBOM, 8 écosystèmes
- PyPI, npm, Go, Maven, RubyGems, PHP, Rust, NuGet, transitives comprises
- Hébergé dans l’UE
- RGPD, droit européen, zéro entraînement sur votre code
Fonctionnalités
Tout ce qu'il faut pour sécuriser, sans le superflu.
Inventaire complet des dépendances (SBOM)
SecAI découvre vos lock files sur huit écosystèmes (PyPI, npm, Go, Maven, RubyGems, Packagist/PHP, crates/Rust, NuGet) et reconstruit l'arbre réel de vos dépendances, directes et transitives. Vous obtenez un SBOM exploitable avec la provenance de chaque paquet : quelle version résolue, tirée par quoi, sur quelle chaîne (A vers B vers X). La faille est le plus souvent trois niveaux plus bas que ce que vous croyez, dans un paquet que vous n'avez jamais installé à la main.
Advisories OSV.dev croisés en continu
Chaque paquet et chaque version résolue sont confrontés aux advisories publiés sur OSV.dev (Open Source Vulnerabilities). Le croisement tourne à chaque push, chaque pull request et sur planning cron, donc une vulnérabilité divulguée hier remonte sur votre code d'aujourd'hui sans que vous relanciez quoi que ce soit. Chaque finding de base pointe le paquet, la version affectée et la version qui corrige, en confiance basse tant que l'atteignabilité n'a pas tranché.
Filtrage par atteignabilité, en deux temps
Le cœur du produit. D'abord une porte déterministe : SecAI regarde si les fonctions vulnérables listées par l'advisory sont référencées dans votre dépôt, via l'index de symboles produit par le SAST. Absentes de l'index, la CVE part en NOT_CALLED et sort sans consommer d'IA. Présentes, ou sans index disponible, elle devient candidate : une recherche textuelle des symboles vulnérables (plafonnée à vingt occurrences) alimente un modèle qui juge si une référence est sur un vrai chemin d'exécution, de l'entrypoint jusqu'à la fonction fautive. La confiance est réévaluée, le site d'invocation gardé comme preuve. Atteignabilité mappée pour sept langages.
Priorisation par exploitabilité réelle
On ne trie pas par CVSS isolé. La hiérarchie part de ce qui est atteignable : une CVE critique dans un paquet jamais appelé passe sous une CVE moyenne référencée sur un chemin exposé. SCA, SAST, misconfigs IaC et secrets sont corrélés en chemins d'attaque dans le même scan, donc vous voyez la dépendance vulnérable dans le contexte du reste, pas comme une ligne de plus.
Licences et risque supply-chain
En passe best-effort par-dessus le SBOM, le même inventaire remonte la licence de chaque dépendance, transitive comprise : une copyleft qui s'invite sous une lib permissive, une licence propriétaire, un texte de licence absent. Il repère aussi des signaux de supply-chain, typosquats et paquets malveillants. Autant de risques juridiques et de compromission que vous voulez voir avant un audit, pas après, dans le même endroit que les vulnérabilités.
Corrélé au SAST, à l'IaC et aux secrets
Le SCA n'est pas un silo. Dans un seul scan, SecAI relie la dépendance vulnérable atteignable au flux de données de votre code (SAST à suivi de taint), aux misconfigurations d'infrastructure et aux secrets exposés, puis reconstruit des chemins d'attaque. Une CVE atteignable qui débouche sur un sink sensible ou un secret leaké se lit comme un chemin complet, pas comme une entrée de liste.
Comment ça marche
Du setup à la première alerte.
- 01
1. Vous connectez votre dépôt
GitHub via la GitHub App, GitLab via OAuth ou jeton. Accès en lecture seule, scope limité aux dépôts que vous cochez. SecAI lit vos manifestes et vos lock files, pas de fork ni de commit poussé dans votre code sans votre action. Chiffrement au repos, suppression des données sur demande.
- 02
2. SecAI construit le SBOM et croise OSV.dev
Découverte des lock files sur huit écosystèmes, résolution de l'arbre complet, directes et transitives, avec les versions réellement installées et leur provenance. Chaque paquet et chaque version sont confrontés aux advisories d'OSV.dev. À ce stade vous avez déjà l'inventaire, les licences et la liste brute des vulnérabilités connues en confiance basse, avec la version qui corrige.
- 03
3. La passe d'atteignabilité coupe le bruit
Deux temps. Porte déterministe d'abord : si les fonctions vulnérables de l'advisory ne sont pas dans l'index de symboles produit par le SAST, la CVE est classée NOT_CALLED sans appel au modèle. Sinon, une recherche textuelle des symboles (plafonnée à vingt occurrences) alimente un modèle qui juge le chemin d'exécution. Sans run SAST, donc sans index, les candidats partent directement au modèle : l'atteignabilité reste calculée, au prix d'un coût IA plus élevé. Un agent relie ensuite ce qui est atteignable au SAST, à l'IaC et aux secrets en chemins d'attaque.
- 04
4. Rapport, SARIF et CI/CD
Rapport HTML, export SARIF natif pour GitHub Code Scanning, commentaires de PR ou MR, alertes Slack, webhook ou email. La GitHub Action pose un gate de sévérité configurable dans votre pipeline. GitLab, Jenkins et runners self-hosted passent par la CLI secai. La vérification humaine finale reste l'affaire de nos pentests OSWE, une offre séparée.
Bénéfices
L'impact concret pour vos équipes.
Arrêter de noyer les devs sous 500 CVE
Un scan de dépendances brut remonte tout ce qui est déclaré vulnérable, atteignable ou non, et l'équipe finit par tout ignorer par lassitude. SecAI inverse le tri : le SBOM sert de base, le croisement OSV.dev identifie les candidats, puis la passe d'atteignabilité écarte d'abord en déterministe celles dont aucune fonction vulnérable n'apparaît dans votre index de symboles, avant de faire trancher l'IA sur ce qui reste. Ce qui remonte est court et défendable, avec le site d'invocation comme preuve. Vos développeurs arrêtent de fermer des tickets en won't fix et corrigent ce qui compte vraiment.
Le risque des dépendances suivi en continu, pas à date
Une CVE peut tomber n'importe quel jour sur un paquet que vous n'avez pas touché depuis des mois. Un audit humain, c'est une photo à une date ; entre deux missions, votre arbre de dépendances bouge à chaque mise à jour et le paysage des vulnérabilités change tout seul. SecAI recroise votre SBOM avec OSV.dev à chaque commit et sur planning cron, donc une divulgation d'hier remonte sur votre code d'aujourd'hui. La vérification offensive reste le métier de nos pentesters certifiés OSWE, en offre séparée : le SCA bouche le trou entre deux audits.
Une seule vue : dépendances, code, infra, secrets
Le risque des dépendances ne vit pas isolé du reste. SecAI corrèle le SCA filtré par atteignabilité avec le SAST contextuel, les misconfigs IaC et les secrets, dans le même scan et le même rapport. Vous voyez la CVE atteignable au bout d'un chemin d'attaque, pas dans un onglet séparé qu'on lit une fois par trimestre. Rapport HTML, export SARIF natif, notifications Slack, webhook ou email : tout sort du même endroit, sans empiler trois outils qui ne se parlent pas.
Pourquoi own2pwn
Ce qu'on fait différemment.
La reachability plutôt que la liste brute
La plupart des outils de SCA remontent toute CVE présente dans l'arbre, atteignable ou non, et laissent l'équipe trier au CVSS. SecAI part de la référence réelle : la dépendance vulnérable compte si ses fonctions fautives apparaissent dans votre code et sur un chemin d'exécution plausible, sinon elle sort du haut de pile dès la porte déterministe. C'est ce filtre en deux temps qui fait la différence entre 500 lignes ignorées et une liste courte qu'on corrige.
Conçu par un pentester OSWE
Le SCA de SecAI ne sort pas d'une équipe data. La logique de priorisation vient de l'exploitation réelle : une dépendance vulnérable ne vaut que si un attaquant peut l'atteindre et l'enchaîner. La certification OSWE porte précisément sur l'exploitation de vulnérabilités applicatives en boîte blanche, exactement là où se joue l'atteignabilité entre votre code et vos dépendances.
L'IA pour trier et corréler, pas pour bavarder
La découverte des lock files, la résolution du SBOM et le croisement OSV.dev sont déterministes, et la porte d'atteignabilité écarte sans IA tout ce que l'index de symboles du SAST ne référence pas. Le modèle n'intervient que sur les références ambiguës, pour juger si elles sont sur un vrai chemin d'exécution, et pour relier la dépendance au reste (code, IaC, secrets). Pas de chatbot, pas de verdict opaque : chaque CVE remontée montre le site d'invocation qui la rend atteignable.
Complémentaire de vos pentests, pas un remplaçant
Le SCA couvre le risque des dépendances en continu, à chaque commit et sur planning cron, pendant que votre arbre de paquets bouge. La validation humaine reste l'affaire de nos pentests, une offre séparée signée par un pentester. Chaque rapport recommande d'ailleurs une revue par un professionnel. On ne vend pas une IA qui remplace l'humain, on vend la continuité entre ses passages.
Des tarifs lisibles, sans surprise.
- 2 dépôts
- Pré-pass déterministe illimité (SAST, SCA, IaC, secrets)
- 20 validations IA / mois, jusqu'à 10 scans par jour
- Scans sur push/PR et planifiés par cron
- Rapport HTML et export SARIF
- Support communautaire
- Dépôts illimités
- 250 validations IA / mois, jusqu'à 200 scans par jour
- Vérification par agent LLM et corrélation en chemins d'attaque
- GitHub App, Action SARIF, gate de sévérité et auto-fix PR/MR
- Notifications Slack, webhook et email
- Validation supplémentaire à 0,30 € (pay-as-you-go), jusqu'à 5 utilisateurs
- Dépôts illimités
- 750 validations IA / mois
- SSO / SAML et RBAC
- File d'analyse prioritaire
- Validation supplémentaire à 0,30 € (pay-as-you-go)
- Jusqu'à 15 utilisateurs
- Volume de validations négocié
- SSO / SAML / SCIM, audit logs
- Runner auto-hébergé, déploiement dédié
- SLA renforcé, accompagnement conformité (RGPD, ISO, SOC 2)
- Couplage avec les pentests et l'EASM own2pwn
Questions fréquentes
Ce que vous voulez probablement savoir.
Pour aller plus loin
SAST, DAST, IAST : le comparatif
Trois manières de chasser les failles applicatives, et ce que l'IA change.
Lire →SAST et DAST dans la CI/CD
Le guide DevSecOps pour brancher l'analyse sur le pipeline.
Lire →OWASP Top 10 expliqué
Les dix familles de failles web les plus courantes, et comment les traiter.
Lire →Vibe coding et sécurité
Coder au feeling avec l'IA : les angles morts de sécurité que ça introduit.
Lire →Parlons de votre besoin.
Démo, devis ou question technique : réponse sous 48 h ouvrées.