Aikido
Essai gratuit
Sans CB
Blog
/
Ingénierie

AutoTriage et le modèle du fromage suisse pour la réduction du bruit de sécurité

Madeline LawrenceMadeline Lawrence
|
Aucun élément trouvé.
Publié le :
25 octobre 2025
Dernière mise à jour le :
7 janvier 2026

AutoTriage et le modèle du fromage suisse pour la réduction du bruit de sécurité

Ou, pourquoi vos scanners traditionnels signalent probablement trop d'éléments

Le modèle du fromage suisse est une approche classique pour raisonner sur le risque. Dans les industries critiques en matière de sécurité, il postule que les incidents se produisent lorsque des « trous » dans plusieurs défenses imparfaites s'alignent. Pour atténuer ces risques, vous ajoutez des couches de défense pour réduire ou éliminer les trous, et empêcher les conséquences néfastes de se produire.

Crédit : Ben Aveling

En AppSec, les incidents sont causés non seulement par des exploits de code et de configuration, mais aussi par une érosion de la concentration des ingénieurs due aux faux positifs et à la lenteur de la remédiation. La gestion des vulnérabilités est tout autant un problème d'ingénierie que de processus, et Aikido adopte une approche stratégique pour réduire le bruit et accélérer les corrections qui comptent.


L'importance de la défense en couches

Nous pouvons visualiser un workflow AppSec moderne comme incluant un ensemble de « couches » empilées, chacune conçue pour détecter différents types de problèmes et réduire la surface de risque globale. Celles-ci incluent :

  • Analyse de code et atteignabilité
  • Tri des problèmes pour évaluer l'exploitabilité, la priorité et l'impact
  • Probabilité d'exploitation et son contexte environnemental
  • Contrôles avec intervention humaine (IDE locaux, systèmes CI, flux d'approbation de PR)
  • La correction réelle du code utilisant des humains et des LLM

Chacun des éléments ci-dessus peut représenter à la fois un point faible exploitable et un goulot d'étranglement pour la remédiation. Les workflows d'Aikido sont donc conçus pour réduire implacablement les frictions afin que les vulnérabilités réelles soient corrigées là où elles sont le plus exploitables.

Réduire les trous avec l'atteignabilité

Un point faible de l'analyse de code traditionnelle est que le « succès » peut être mal interprété comme la découverte d'autant de problèmes que possible. Cela inclut les résultats signalés comme des vulnérabilités même lorsque le chemin de code ou le package vulnérable n'est pas accessible à partir d'entrées contrôlées par l'utilisateur. Le moteur d'analyse d'accessibilité d'Aikido ajoute une analyse du flux de programme pour ignorer automatiquement ces cas dès le départ. Cela seul réduit considérablement le bruit.

Par exemple, un scanner SCA traditionnel pourrait détecter une version obsolète de pyyaml contenant une vulnérabilité critique. Cependant, l'analyse d’accessibilité montre qu'aucun code n'utilise réellement le package. Par conséquent, le problème peut être ignoré automatiquement en toute sécurité malgré sa gravité documentée.

AutoTriage comme filtre de raisonnement

Si l'analyse d'accessibilité détermine qu'une découverte est nominalement exploitable, Aikido AutoTriage pose les questions suivantes :

  1. Pouvons-nous exclure l'exploitabilité ? Autrement dit, existe-t-il une validation, une désinfection ou un transtypage efficace qui atténue l'exploit.
  2. Si nous ne pouvons pas l'exclure, comment devons-nous le prioriser ? Nous estimons la probabilité et la gravité, puis classons en conséquence.

Nous avons précédemment publié comment les modèles de raisonnement sont utiles ici. Dans de nombreux cas, les « règles empiriques » sont suffisantes (et moins coûteuses). Pour les cas plus complexes (par exemple, les traversées de chemins), les modèles de raisonnement réduisent davantage les faux positifs en décomposant le problème.

Tout cela repose sur une conscience aiguë de l'effet « au loup », où un trop grand nombre d'alertes de faible valeur dégrade la confiance et la réactivité. Le réduire est un objectif principal d'AutoTriage.

Probabilité d'exploit et contexte environnemental

La probabilité d'exploit dans le monde réel est importante. Aikido utilise l'EPSS pour ignorer ou rétrograder automatiquement les problèmes à faible risque et concentrer les équipes là où les attaques se produisent réellement. Comme l'EPSS est mis à jour quotidiennement, cette couche maintient la pile alignée sur la réalité des menaces actuelles plutôt que sur les scores CVSS historiques.

De plus, nous augmentons ou diminuons la gravité en fonction du contexte, tel que l'exposition à Internet, les environnements de développement par rapport à la production et les contrôles environnants. C'est là que la collecte de contexte est cruciale. Si le contexte est erroné, la décision de gravité est erronée. C'est pourquoi nous investissons dans l'optimisation des prompts de nos LLM et dans l'acheminement des bons détails de code et d'environnement vers les modèles effectuant l'AutoTriage.


L'analyse d'accessibilité montre que cet exploit est atteignable dans le code. Cependant, l'analyse par IA détermine que dans ce contexte, cette vulnérabilité de falsification de requête n'a aucun effet car le domaine hôte est codé en dur et ne peut pas être modifié par l'attaquant.

L'humain dans la boucle là où ça compte

L'IA générative a un problème de boucle de rétroaction bien documenté. Les humains sont toujours nécessaires pour vérifier les sorties et décider en fin de compte de la mise en production. Aikido affiche intentionnellement ses recommandations là où votre équipe travaille déjà :

  • Dans votre IDE afin que vous puissiez effectuer des corrections rapides avant de pousser vers un dépôt partagé et d'exécuter des pipelines CI
  • Dans les PR afin que les relecteurs voient le contexte de triage et les suggestions AutoFix dès que le code est modifié,
  • Dans la CI, afin que vous puissiez placer la sécurité dans le contexte de vos pipelines automatisés de build, de test et de déploiement existants

L'objectif est de réserver le temps, l'effort et le jugement humains aux endroits où ils sont vraiment nécessaires.

AutoFix pour déployer les correctifs immédiatement

Si une découverte est probablement exploitable et à fort impact, la meilleure alerte est celle qui inclut un correctif documenté avec le contexte déjà assemblé par Aikido. Aikido correction automatique par IA fournit un aperçu de la modification nécessaire pour corriger, génère la pull request pour votre dépôt et fournit des commentaires détaillés sur la modification du code et les vulnérabilités résolues.

AutoFix est actuellement disponible pour le SAST, l'analyse IaC, le SCA et les images conteneurs. Votre code n'est jamais stocké de manière persistante par une technologie d'IA ni autorisé à être utilisé pour entraîner des modèles d'IA (consultez le centre de confiance d'Aikido pour en savoir plus).

Mettre Aikido au travail

Le modèle original du fromage suisse enseigne que les incidents résultent de faiblesses alignées. En sécurité des applications, le bruit et le délai sont deux de ces faiblesses. Si vous débutez avec Aikido, vous pourriez initialement vous demander pourquoi vous voyez moins de problèmes de sécurité signalés que prévu. C'est voulu ! Aikido travaille intentionnellement et proactivement à minimiser le travail administratif que vous devez effectuer pour trier des centaines de problèmes dont seuls certains pourraient avoir un impact significatif.

En superposant l'accessibilité, le triage raisonné, la validation humaine si nécessaire et les correctifs en un clic, nous rendons beaucoup plus difficile l'alignement de ces failles, et beaucoup plus facile pour votre équipe de se concentrer sur le travail qui compte.

4.7/5

Sécurisez votre logiciel dès maintenant.

Essai gratuit
Sans CB
Planifiez une démo
Vos données ne seront pas partagées - Accès en lecture seule - Pas de CB nécessaire
Écrit par
Madeline Lawrence

CGO

Madeline Lawrence est Chief Growth Officer chez Aikido Security, où elle dirige la croissance, la marque et le marketing. Auparavant, elle était Partner chez Peak, un fonds de capital-risque de 150 millions de dollars, et a siégé au conseil consultatif de TNW (The Next Web), la société de médias technologiques européenne du Financial Times.

Aller à :
Lien texte

Sécurisez votre logiciel dès maintenant.

Essai gratuit
Sans CB
Essai gratuit
Sans CB
Planifiez une démo
Partager :

https://www.aikido.dev/blog/autotriage-and-the-swiss-cheese-model-of-security-noise-reduction

Articles similaires
14 janvier 2026

De « No Bullsh*t Security » à 1 milliard de dollars : Nous venons de lever 60 millions de dollars en série B

Aikido annonce un financement de série B de 60 millions de dollars, valorisant l'entreprise à 1 milliard de dollars, accélérant sa vision d'un logiciel auto-sécurisé et de tests d'intrusion continus.

Tags/
15 décembre 2025

Le SAST dans l'IDE est désormais gratuit : Déplacer le SAST là où le développement a réellement lieu

Exécutez des scans SAST gratuits directement dans votre IDE avec un feedback en temps réel et une visibilité sur l'ensemble du projet. Utilisez les mêmes règles et moteur SAST qu'Aikido, avec AutoFix optionnel pour les découvertes prises en charge.

Tags/
28 novembre 2025

SCA partout : Analysez et corrigez les dépendances open source dans votre IDE

Intégrez le workflow SCA complet dans votre IDE avec le scanning intégré à l'éditeur et AutoFix. Détectez les packages vulnérables, examinez les CVE et appliquez des mises à niveau sécurisées sans quitter votre flux de travail de développement.

Tags/

Sécurisez-vous maintenant.

Sécuriser votre code, votre cloud et votre runtime dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer le scan
Sans CB
Planifiez une démo
Pas de carte de crédit requise | Résultats du scan en 32 secondes.
Aucun élément trouvé.