SAST IA contextuel : suivez le flux de la donnée, pas les regex.

La détection est la plus profonde sur Python (Django, Flask, FastAPI), JavaScript/TypeScript (Node, React, Next.js, Vue), Java (Spring), PHP (Laravel, Symfony) et Ruby on Rails : règles de sinks matures plus suivi de taint intra, inter-procédural et multi-fichiers. Go et C# sont supportés mais plus légers à ce stade. Une dizaine d'autres langages disposent d'un analyseur de flux mais pas encore de règles dédiées, donc peu ou pas de findings. On préfère le dire que survendre une couverture uniforme. Si votre stack n'est pas dans la liste forte, écrivez-nous : on cadre le périmètre avant d'engager quoi que ce soit.

Deux étages. D'abord un pré-pass déterministe : tree-sitter repère les sinks sensibles, puis un moteur de taint remonte le flux de la donnée depuis sa source jusqu'au sink, à travers les fonctions et les fichiers du dépôt. Ce qui n'a pas de source attaquable ou passe par un assainissement est rejeté tout de suite, sans consommer de validation. Ne survivent que les chaînes plausibles, qui partent ensuite à la vérification. Chaque finding affiche sa chaîne de taint complète (source, étapes intermédiaires, sink) : vous voyez pourquoi c'est remonté, pas un verdict opaque.

C'est un agent d'analyse statique orchestré avec LangGraph. Un superviseur route le scan vers des workers spécialisés (SAST, SCA, IaC, secrets), et un agent de triage relit les findings de code avec des outils d'inspection d'AST pour écarter les faux positifs. Soyons clairs sur une chose : SecAI ne fait pas de DAST, n'exécute pas votre application et ne rejoue pas un pentest sur une cible vivante. La couverture entre deux audits humains vient de l'analyse statique continue, déclenchée à chaque commit ou pull request et via des scans planifiés (cron par dépôt). Pas de runtime, donc aucun risque pour votre production.

Les SAST classiques par motif s'arrêtent souvent au fichier et noient l'équipe sous le bruit. Ici, le suivi de taint multi-fichiers remonte le flux réel de la donnée, et un vérificateur IA tue une partie des faux positifs avant qu'ils n'atterrissent dans votre backlog. SecAI corrèle aussi SAST, SCA avec reachability, IaC et secrets dans un seul scan, puis reconstruit des chemins d'attaque. On est moins exhaustif que les historiques sur les langages exotiques, plus profond sur le triage, l'exploitabilité et la corrélation. Et surtout, SecAI s'inscrit dans une logique de pentester : il prolonge la couverture, l'humain garde la décision finale.

Non, et ce n'est pas le but. SecAI assure la couverture statique en continu entre deux missions, là où votre code bouge à chaque déploiement. La vérification humaine reste notre offre de pentest, séparée, menée par un pentester certifié OSWE. Le rapport SecAI le rappelle d'ailleurs explicitement : les findings doivent être revus par un professionnel. SecAI et le pentest own2pwn se complètent, ils ne se substituent pas.

Sur GitHub, l'intégration est native : GitHub App plus GitHub Action composite, avec export SARIF compatible Code Scanning, commentaire sur la PR et blocage configurable au-delà d'un seuil de sévérité (par défaut : échec sur sévérité haute). Pour GitLab, Jenkins ou des runners auto-hébergés, le chemin est le secai-cli (scan distant ou local, sortie SARIF/JSON, mêmes codes de sortie). GitLab est aussi pris en charge comme source de code (OAuth/PAT, commentaires et ouverture de merge requests). À noter, produit en pré-lancement : nous ne prétendons pas que l'Action et le CLI sont déjà publiés sur les marketplaces publics, contactez-nous pour un accès anticipé.

Non sur les deux points. L'hébergement est en France, chez un fournisseur souverain : RGPD natif, hors Cloud Act. Les colonnes sensibles des findings et les jetons d'accès sont chiffrés au repos, et la purge RGPD est implémentée (suppression d'un dépôt ou d'un compte, données comprises). L'analyse IA passe par l'API commerciale d'Anthropic, qui n'entraîne pas ses modèles sur les données transmises : votre code n'alimente aucun apprentissage. L'accès à votre dépôt est en lecture seule, limité au périmètre que vous définissez.

Oui. SecAI génère un rapport HTML, un export SARIF (serveur et CLI), et pousse les résultats là où votre équipe travaille : commentaires de PR/MR, Slack, webhook, email. Le SARIF s'intègre directement dans GitHub Code Scanning. En cas d'arrêt, vous exportez vos rapports et vos données sont supprimables sur demande via les routes de purge RGPD.

Le tier gratuit inclut 20 validations IA par mois (et jusqu'à 10 scans par jour). Le plan Pro en inclut 250 par mois (jusqu'à 200 scans par jour), le plan Team 750. Une validation couvre une unité de vérification IA : le pré-pass déterministe, lui, ne consomme rien, seul le vérificateur LLM brûle du budget. Au-delà du forfait, chaque validation supplémentaire est facturée 0,30 € en pay-as-you-go, agrégée sur la facture mensuelle. Un estimateur vous donne le coût avant de lancer un scan (basé sur la taille du code et les points d'entrée), un scan échoué pour cause d'incident infra est remboursé, et l'usage est consultable en temps réel.

SecAI est en pré-lancement, on l'assume. Fonctionnent déjà : le moteur de scan (SAST déterministe puis IA, SCA avec reachability, IaC, secrets), l'orchestration LangGraph, le dashboard et l'API, le système de validations avec estimateur et remboursements, les sources GitHub et GitLab, l'upload de dépôt ou le clone privé, le CLI, l'export SARIF, les scans planifiés, les notifications multi-canaux, l'auto-fix par PR/MR, le chiffrement au repos et la purge RGPD. Ce qui n'existe pas et qu'on ne vous vendra pas : le DAST, le rejeu d'un scope de pentest sur cible vivante, et la signature de rapport par un pentester directement dans l'app (ça, c'est notre offre de pentest, à part). Le meilleur moyen de juger reste un accès anticipé.